IntegoTips 標的攻撃で使用されるMacマルウェア、DazzleSpy

こんにちはいつもact2ブログをご覧いただき、ありがとうございます。

標的攻撃で使用されるMacマルウェア、DazzleSpy
（この記事は、2022年1月25日にJoshuaLong
（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac

Security Blogに投稿されたDazzleSpy Mac Malware Used in Targeted

Attacksの翻訳です）

DazzleSpyは、ニュースの見出しを飾る最も新しいMacマルウェアです。興味
深いことに、国家が支援するサイバースパイキャンペーンを示唆する特徴を
持っています。

Integoでは、このマルウェアの複数の構成要素をOSX/DazzleSpy、OSX/CDDS、
OSX/Exploit.Agent.C、そしてJS/Exploit.Agent.NQKとして検出します。

この脅威のどこが特徴的で、何が興味をそそるのか調べてみましょう。

この記事では、次の点を見ていきます:

●DazzleSpyはどのように発見されたのか。

●DazzleSpyは感染したコンピュータでどのように動作するのか。

●DazzleSpyや他の脅威を除去、あるいは防御する方法。

●DazzleSpyと関連するドメインについてわかっていること。

●DazzleSpyマルウェアは作者は誰なのか。

●セキュリティ侵害インジケーター（Indicators of compromise: IoCs）

●DazzleSpyには別名があるのか。

■DazzleSpyはどのように発見されたのか。

2021年11月に、GoogleおよびESETのチームがそれぞれ別々にあるMacマル
ウェアのキャンペーンについて調査していました。そのキャンペーンは、
特定の興味を共有するグループを感染の標的とした、俗にいう水飲み場攻撃を
使ったものです。このケースでは、標的は明らかに香港の民主主義を擁護する
人々でした。

GoogleのErye Hernandez氏のThreat Analysis

Group（TAG）が、まず11月11日にキャンペーンについて情報を公開しました
（https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/）。
Hernandez氏は、この水飲み場攻撃はmacOSBig Surの現在のバージョンには
すでに影響しない古い脆弱性（CVE-2021-30869）を悪用しているものの、
macOSCatalinaでは感染が可能としています。

この脆弱性が明らかになってから、Appleは9月23日にCatalinaおよびiOS

12.5.5のパッチを公開しました（Integoによる解説:

https://www.intego.com/mac-security-blog/apple-releases-ios-12-5-5-for-older-iphone-ipad-ipod-touch-devices/）。
そして同日、Appleは、それ以前の2月1日に公開されたmacOSBig Sur11.2の
セキュリティリリースノートを更新し、約8ヶ月も前にこの脆弱性が修正されて
いたことを公表しました。

Appleが2月に当時最新のmacOSのバージョンに対して密かに脆弱性をパッチ
していたにも関わらず、まだサポートが提供されていた他のオペレーティング
システムでパッチを提供せず、実際に脆弱性が悪用されたことがわかるとその
事実を認め、影響を受ける他のオペレーティングシステムをパッチしたという
ことになります。これまでも触れたように、Appleのお粗末なパッチポリシーは
ユーザのセキュリティとプライバシーを危険に晒す可能性があります
（https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/）。
自らを守るには、常にApple最新のオペレーティングシステムを利用することが
重要です。古いバージョンでもセキュリティ修正は提供されていますが、重要
なものを含め全てが提供されているわけではないのです。

Hernandez氏は、Googleが「この脅威の背後には、ペイロードのコードの
品質の高さから自身のソフトウェアエンジニアを抱え、国の支援を受けるなど、
潤沢なリソースを持つグループがいる」ことを確信しているとします。Googleは
このペイロードのマルウェアファミリーを“MACMA”と呼び、Patrick

Wardle氏は繰り返し現れるコード文字列から“CDDS”というあだ名を付けました。

今週、ESETの研究者、Marc-Etienne M.Léveillé氏およびAnton

Cherepano氏が同じ水飲み場攻撃キャンペーンを独自に調査した結果を公表
しました。
（https://www.welivesecurity.com/2022/01/25/watering-hole-deploys-new-macos-malware-dazzlespy-asia/）
彼らの分析は、Googleが見つけたものとは異なるペイロードに行きつきま
したが、脅威の背後については同様の結論に達しています:「このキャンペー
ンで使われている手法の複雑さから、このキャンペーンの背後にいるグループ
は強力な技術的能力を持っていると判断します」。

この研究者達は、この脅威の背後にいるものは、特定のWebKitの公表されて
いない脆弱性について知識があり、感染したMacとコマンド&コントロール
（C&C）サーバ間を強制的に暗号化する優れた方法を採用しているとして
います。

ESETでは、Googleが入手したものとは異なるペイロードを入手したと判断し、
このマルウェアファミリーを“DazzleSpy”と名付けました。

■DazzleSpyは感染したコンピュータでどのように動作するのか。

DazzleSpyは、さまざまな機能を持っていますが、主にユーザをスパイし個人
情報を盗むことに注力しているようです。DazzleSpyの主な機能は、次の通り:

●Macのユーザ名、Wi-Fi

SSID（ネットワーク名）、IPアドレス、そして被害者とそのMacを特定できる
可能性がある他の情報を収集します。

●デスクトップ、書類、そしてダウンロードフォルダ内のすべてのファイルの
リストを作成し、攻撃者がファイルを検索できるようにします。

●攻撃者が被害者のMacの画面を表示したりリモートコントロールできるように
します。

●被害者のオペレーティングシステムが脆弱性CVE-2019-8526を利用できる
ほど古い場合、キーチェインからパスワードを盗みます。

●データを抜き取って攻撃者が管理するサーバに送ります。

●ファイルからcom.apple.quarantineメタデータを除去することでGatekeeperを
迂回します。

●LaunchAgentを使って、Macの再起動後も積極的に感染し続けます。

●自身を除去します（被害者がMacの感染に気付き、専門家の助けを求めた
場合など）。

同じサイトと方法で拡散される、MacmaあるいはCDDSと呼ばれるもう一つの
Macマルウェアは、11月にGoogleが報告を公開したことで広く知られました。

このマルウェアは、DazzleSpyと同様の機能をいくつか持っています。
Googleによる分析では、Macmaマルウェアがキーチェインパスワードを書き
出せるのか明確にしていませんが、GoogleはMacmaがオーディオを録音し、
キー入力を記録できるとしています。

■DazzleSpyや他の脅威を除去、あるいは防御する方法

残念なことに、Gatekeeper、XProtect、そしてMRT（マルウェア削除ツール
）といったAppleがmacOSに内蔵する脅威対策では、多くの脅威から防御
できません。そのため、Apple自身のmacOS保護機能が十分とは言えないの
です。

関連記事: Do Macs need antivirus

software?（https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/）

IntegoのMac Premium Bundle

X9（https://www.act2.com/integostore#mpb）あるいはMac Internet Security

X9（https://www.act2.com/integostore#mis）に含まれているVirusBarrier

X9は、DazzleSpyおよびMacma/CDDSマルウェアを検出および駆除することで
Macを防御します。VirusBarrierは、Macの専門家によって開発されており、
Appleの保護方法より多くのマルウェアに対応します。

お使いのMacが感染している可能性を疑っているなら、あるいは今後の感染
から防御したいなら、信頼できるMac用ソフトウェアの開発元が提供するリア
ルタイムスキャン
（https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/）
が可能なアンチウイルスソフトウェアの導入をお勧めします。
IntegoのVirusBarrierX9なら、M1ネーティブのマルウェア、クロスプラット
フォームなマルウェアなどからもMacを保護できます。
Integoは、AV-Comparatives
（https://www.av-comparatives.org/tests/mac-security-test-review-2021/#intego）
およびAV-TEST
（https://www.av-test.org/en/antivirus/home-macos/macos-bigsur/june-2021/intego-virusbarrier-10.9-215205/）
という二つの独立系の試験で、Macマルウェアの検出率100%を記録しています。

補足: 古いMac OS X（macOS）でIntegoのVirusBarrier

X8、X7（2013）、あるいはX6を使っているお客様も、こうした脅威から保護
されています。しかし、お使いのMacがAppleの最新セキュリティアップ
デートで常に保護されるためにも、可能な限り最新のVirusBarrierとmacOSに
アップグレードすることをお勧めします。

■DazzleSpyと関連するドメインについてわかっていること。

amnestyhk[.]orgおよびfightforhk[.]comの両方が、香港の民主主義の支持者を
標的とする目的のため、この脅威の背後にいるものによって登録されている
ようです。

しかし、こうしたキャンペーンで使われている手法やマルウェアを見ると、
この脅威の背後にいるものは、何らかの理由でMacだけを標的にしている
ようです。しかも、CPUにIntelを搭載したMacで動作するmacOS

Catalina以前のユーザを狙い撃ちしているようです。

ここまで標的を絞り込むということは、本当の標的は一人、あるいは小さな
グループなのかもしれません。

これらのキャンペーンでは、他にapple-webservice[.]comおよび
appleid-server[.]comという２つのドメインが使われていますが、パッと見で、
あるいは初心者にAppleのドメインと勘違いさせる意図は明白です。ただし、
いずれもAppleが所有しているものではありません。両方とも、2021年8月に
GoDaddyで登録されており、どちらのドメインの登録情報もGoogleがブログの
投稿を公開したのと同じ11月11日に更新されています。少なくとも、ドメイ
ンの一つは同日あるいはその後に他の悪意あるキャンペーンで再利用された
フシがあります
｛Vulners（https://vulners.com/rst/RST:A7534228-2680-3198-8E77-48A589BC6DFF）
およびHybridAnalysis
（https://www.hybrid-analysis.com/sample/3fa6747b05fa9a4d1b4c430f58e56ec5d51b5c32a9322004351ba06794efa979?environmentId=120）
を参照ください｝。

■DazzleSpyマルウェアは作者は誰なのか。

このマルウェアが香港の民主化を謳うサイトで拡散されたことを見ると、
DazzleSpyを拡散させたのが誰であれ、HongKongの民主主義を好ましく思って
いないことは明らかでしょう。

面白いことに、このマルウェアの開発者の一人の名前はわかるかもしれません。
DazzleSpyのコードに埋め込まれたいくつかのテキスト文字列が“wangping”と
いう開発者のMacのユーザ名のようなのです:

/Users/wangping/pangu/create_source/poke/osxrk_commandLine/

もちろん、これが偽装工作の可能性もあります。このマルウェアキャンペーン
のその他の側面の洗練されている状況から考えて、開発者がその名前をこんな
形で流出させるのは不自然でしょう。

一方、間の抜けた開発者が過去にいたのも事実です;

次のIntegoのMacマルウェアに関する白書を参照ください（PDF）

:

https://www.intego.com/mac-security-blog/wp-content/uploads/2019/07/Intego-Mac-Malware-Attribution-White-Paper-20190601.pdf

■セキュリティ侵害インジケーター（Indicators of compromise: IoCs）

以下のSHA-256ハッシュがDazzleSpy、CDDS/Macma、そして関連するマル
ウェアキャンペーンに関連する既知のファイルに属しています:

Mach-Oバイナリファイル:

341bc86bc9b76ac69dca0a48a328fd37d74c96c2e37210304cfa66ccdbe72b27

4c67717fdf1ba588c8be62b6137c92d344a7d4f46b24fa525e5eaa3de330b16c

570cd76bf49cf52e0cb347a68bdcf0590b2eaece134e1b1eba7e8d66261bdbe6

623f99cbe20af8b79cbfea7f485d47d3462d927153d24cac4745d7043c15619a

8fae0d5860aa44b5c7260ef7a0b277bcddae8c02cea7d3a9c19f1a40388c223f

9b71fad3280cf36501fe110e022845b29c1fb1343d5250769eada7c36bc45f70

a63466d09c3a6a2596a98de36083b6d268f393a27f7b781e52eeb98ae055af97

bbbfe62cf15006014e356885fbc7447e3fd37c3743e0522b1f8320ad5c3791c9

cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8

d599d7814adbab0f1442f5a10074e00f3a776ce183ea924abcd6154f0d068bb4

df5b588f555cccdf4bbf695158b10b5d3a5f463da7e36d26bdf8b7ba0f8ed144

f9ad42a9bd9ade188e997845cae1b0587bf496a35c3bffacd20fefe07860a348

JavaScriptファイル:

7965c61a4581f4b2f199595a6b3f0a416fe49bd8eaac0538e37e050d893f9e3c

9d9695f5bb10a11056bf143ab79b496b1a138fbeb56db30f14636eed62e766f8

bc6e488e297241864417ada3c2ab9e21539161b03391fc567b3f1e47eb5cfef9

cbbfd767774de9fecc4f8d2bdc4c23595c804113a3f6246ec4dfe2b47cb4d34c

Bashシェルスクリプトファイル:

f31e42c04f0cb27fddb968a59088c4f1f099ca499baf3b1f045d7639f72a8b62

ディスクイメージファイル:

f0b12413c9d291e3b9edd1ed1496af7712184a63c066e1d5b2bb528376d66ebc

暗号化されたserver.encファイルの可能性があるサンプル:

3d20386ce4ab7094314afd30bc12a623369cf93df84c90238251220844074834*

関連するAndroid ELFマルウェアファイル:

5d2a59720f23838eb72a6fb2003edea71551e5b02eac8b68be7bc02b67a5c5e8

5fff034e2a96d6b868957a1b43042d62107b253d64ac8daca8c1530e59e3df97

*Integoが初めて報告

感染したMacでは、以下のファイルおよびフォルダが見つかる可能性があります:

~/.local/security.zip

~/.local/security/keystealDaemon

~/.local/security/libkeystealClient.dylib

~/.local/softwareupdate

~/Library/LaunchAgents/com.apple.softwareupdate.plist

~/Library/LaunchAgents/com.UserAgent.va.plist

~/Library/Preferences/lib/UserAgent

~/Library/Preferences/Tools/

~/Library/Preferences/Tools/arch

~/Library/Preferences/Tools/at

~/Library/Preferences/Tools/kAgent

~/Library/Preferences/UserAgent/lib/Data/

~/Library/Preferences/UserAgent/lib/UserAgent

~/Library/Safari/Safari.app/Contents/MacOS/UpdateHelper

~ 記号は、/Users/usernameのようにユーザのホームフォルダを意味します。

なお、上記の~/.localフォルダは、普通は不可視なのでご注意ください。デフォ
ルトでは、その名前が.（ピリオド）で始まるフォルダやファやファイルは
macOSによって隠されています。こうしたファイルやフォルダは、Finderで
⌘⇧.（Command-Shift-ピリオド）キーを押すことで表示できます。ただし、
隠されているファイルのほとんどは危険がありませんので、危険であるとの
確信がない限り隠されていたファイルを削除したり、ゴミ箱へ移動しては
いけません。

次のIPアドレス、ドメイン、そしてURLがこのマルウェアあるいは関連する
キャンペーンで使われています。ネットワーク管理者は、2021年の8月から
11月の間、そしてそれ以降にネットワーク内のコンピュータがこれらのIP
あるいはドメインに接続していないかログを調べると良いでしょう:

88.218.192[.]128:5633

103.255.44[.]56:8371

103.255.44[.]56:8372

123.1.170[.]152

207.148.102[.]208

amnestyhk[.]org

apple-webservice[.]com

appleid-server[.]com

fightforhk[.]com

http://103.255.44[.]56:8371/00AnW8Lt0NEM.html

http://103.255.44[.]56:8371/iWBveXrdvQYQ?rid=*

http://103.255.44[.]56:8371/pld?rid=*

http://103.255.44[.]56:8371/SxYm5vpo2mGJ?rid=*

http://103.255.44[.]56:8372/6nE5dJzUM2wV.html

https://amnestyhk[.]org/ss/4ba29d5b72266b28.html

https://amnestyhk[.]org/ss/defaultaa.html

https://amnestyhk[.]org/ss/mac.js

https://amnestyhk[.]org/ss/server.enc

https://appleid-server[.]com/EvgSOu39KPfT.html

https://appleid-server[.]com/server.enc

https://www.apple-webservice[.]com/7pvWM74VUSn2.html

注意: 上記の*は、ワイルドカード文字として使われています。

次のURLに危険はありませんが、前出の期間に乗っ取られていたものです。
ですので、該当期間中にこのサイトを訪問したコンピュータは感染している
可能性があります:

https://bc.d100[.]net/Product/Subscription [no longer infected]

■DazzleSpyには別名があるのか。

他の開発元によるこのマルウェアキャンペーンの脅威の構成要素の呼び名には、
次のようなものがあり得ます:

Adware/Macma!OSX、Artemis!Trojan、ASP.Webshell、
Backdoor:MacOS/Macma.A!MTB、Backdoor:MacOS/Macma.B!MTB、
Backdoor:MacOS/Macma.C!MTB、Backdoor:MacOS/Vigorf.A、
Backdoor/JS.Macma、Backdoor/OSX.Macma.1194193、
Backdoor/OSX.Macma.2575107、BV:Macma-A

[Trj]、DazleSpy、Dropper.Agent/Android!8.37E

(CLOUD)、E32/DroidRooter.A、Elf.Trojan.A3445236、Exploit.Agent!8.1B、
Exploit.Generic-JS.Save.a46a1bf8、Exploit/JS.Generic、
HEUR:Backdoor.OSX.Macma.a、HEUR:Exploit.Script.Generic、
HEUR:Trojan-Dropper.AndroidOS.Agent.sk、HEUR:Trojan-Spy.OSX.Macma.a、
HEUR:Trojan.OSX.Agent.gen、HEUR:Trojan.OSX.Agentb.gen、JS:Exploit-AH

[Expl]、JS.Exploit.ShellCode.c、JS/Exploit.Agent.NQK、LINUX/Agent.aj、
Mac.BackDoor.Macma、Mac.Trojan-spy.Macma.Pepy、MacOS:Macma-A

[Trj]、MacOS:Macma-B [Trj]、MacOS:Macma-C [Trj]、MacOS:Macma-D

[Trj]、MacOS:Macma-E

[Trj]、macOS.Macma、MacOS/Agent.gen、MacOS/Macma.A、
Malware.OSX/Macma.lvyms、Malware.OSX/Macma.nxnte、OSX.CDDS、
OSX.DazzleSpy、OSX.S.Agent.1194193、OSX.S.Agent.2575107、
Osx.Trojan.Agent.Llrp、OSX/Agent.g、OSX/Exploit.Agent.C、OSX/Macma-A、
OSX/Macma.A!tr、OSX/Macma.B!tr、OSX/Macma.C!tr、OSX/Macma.D!tr、
OSX/Macma.E!tr、OSX/Macma.jhzzd、OSX/Macma.lkoes、
OSX/Macma.lvyms、OSX/Macma.lwxgs、OSX/Macma.nxnte、
OSX/Macma.qmfus、OSX/Macma.taejb、osxrk、
PrivacyRisk.SPR/ANDR.DroidRooter、RDN/Generic.osx、
Script.Trojan.45123.GC、Script.Trojan.A3298608、
Script.Trojan.A3370311、SPR/ANDR.DroidRooter.H.Gen、
TROJ_FRS.0NA103A422、TROJ_FRS.0NA103KF21、
TROJ_FRS.0NA103KT21、TROJ_FRS.0NA104KF21、
TROJ_FRS.VSNTKG21、TROJ_FRS.VSNTKT21、Troj/JSExp-X、
Trojan:MacOS/Macma.B、Trojan:Script/Wacatac.B!ml、
Trojan:Win32/Casdet!rfn、Trojan:Win32/Mamson.A!ml、
Trojan.AndroidOS.Agent.C!c、Trojan.DroidRooter.Android.11、
Trojan.DroidRooter.Android.88、Trojan.JS.DAZZLESPY.A、
Trojan.Macma.OSX、Trojan.MacOS.MACMA.A、Trojan.Malscript、
Trojan.OSX.Agentb.4!c、Trojan.OSX.Macma、Trojan.OSX.Macma.4!c、
Trojan.OSX.Macma.l!c、Trojan.OSX.Macma.m!c、Trojan.Script.Generic.3!c、
Trojan.UKP.Linux.4!c、TrojWare.Win32.UMal、VEX.Webshell、
VirTool:Win32/Aicat.A!ml