今日の内容は、ちょっとマニアックですが、Mac のセキュリティリスクの今後の傾向を示唆する内容です。細かい技術的なことはさておき、「こういうことが起きつつある」ということを心に留めておいていただければ、と思います。特に、お仕事で Mac を使われてユーザさんは Mac のセキュリティについて配慮をしていきましょう。その先にいらっしゃるクライアントさんのためにも。
Macを攻撃するために開発されたマルウェア攻撃フレームワーク“Alchimist”
(この記事は、2022年10月20日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたMalware Attack Framework “Alchimist” Designed to Exploit Macsの翻訳です)
最近、複数の研究者がAlchimistという呼び名の新しいマルウェア攻撃フレームワークを発見しました。脅威主体は、macOS、Linux、そしてWindowsコンピュータを感染させてリモート制御するためにAlchimistを使います。そして、すでに世に出回っていると考えられています。
興味深いことに、Alchimistは承認されたユーザに対してほかのユーザとしてのアプリ実行を許可するコマンドライン・ユーティリティ、Polkit pkexec内の{CVE-2021-3034(https://nvd.nist.gov/vuln/detail/cve-2021-4034)}として知られる既知の脆弱性を悪用するMac用のアプリと共に見つかりました。
Polkitの名前にちなんでPwnKitと呼ばれているこの脆弱性は、攻撃者がローカルでの権限を昇格するために悪用できます。つまり、攻撃者は完全な管理者権限で命令を実行したり、危険なソフトウェアを実行できるようになるのです。pkexecの問題は、研究者達が2021年11月に発見するまで12年間も気づかれないままでした。
pkexecユーティリティは、ほとんどすべての著名なLinuxディストリビューションにデフォルトで含まれていますが、AppleはMacのオペレーティングシステムには含めていません。そう思うと、Alchimistの開発者がなぜMacを標的としてmacOSに含まれていないユーティリティの脆弱性を悪用するマルウェアを開発したのか定かではありません。多分、マルウェアの開発者は、標的となるMacにまずpkexecをインストールしてから悪用できるのではないかと考えたのでしょう。あるいは、Macでpkexecを使っているが分かっている特定の誰かを狙ったのかもしれません。
■ Alchimist 関連のマルウェアを除去する方法あるいは防ぐ方法
IntegoのX9シリーズのバンドル製品に含まれているIntego VirusBarrier X9(https://act2.com/integostore)は Alcimist フレームワークに関連したマルウェアの攻撃を防御し、検出および除去することができます。
お使いのMacが感染したと思う場合、あるいは今後の感染からMacを保護したい場合は、信頼できるMac用ソフトウェアの開発者が提供するアンチウイルスソフトを導入することをお勧めします。Macのセキュリティ専門家が開発したVirusBarrierは、リアルタイムスキャン機能を搭載するアンチウイルスソフトです。IntelおよびAppleシリコンのMacの両方に対応し、Appleの最新Mac用オペレーティングシステムであるmacOS Venturaにもすでに対応しています。
■ Alchimist の別名
Intego VirusBarrierおよびIntego Antivirus for Windowsは、このマルウェアと関連ファイルをbackdoor/BDS/Agent.ekgi、OSX/CVE-2021-4034、OSX/OSX.CVE.beswh、OSX/OSX.CVE.ykpzz、trojan/TR/Batch.A、trojan/TR/Redcap.flcv、trojan/TR/Rozena.57446、virus/HTML/ExpKit.Gen、virus/LINUX/Agent.cpde、virus/LINUX/Agent.faqs、virus/LINUX/Agent.F、virus/LINUX/Agent.gzsh、virus/LINUX/Agent.igtr、virus/LINUX/Agent.jktr、virus/LINUX/Agent.jnxv、virus/LINUX/Agent.vzom、そしてvirus/LINUX/Dldr.Agent.csjvとして検出します。
他のメーカでは、様々なファイルをInsekt、EternalBlue、あるいはReshelなどといったマルウェアファミリーとして検出しています。
■ 侵害指標(IoCs)
以下のSHA-256ハッシュが、Alchimistおよび関連マルウェアキャンペーンに関係する既知のファイルに属しています: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以下のIPアドレスがこのマルウェアあるいは関連キャンペーンに紐づけられていると考えられます。
3.86.255[.]88
45.32.132[.]166
95.179.246[.]73
149.28.36[.]160
149.28.54[.]212
ネットワーク管理者は、ネットワーク内のコンピュータが感染した可能性を調べるために上記のIPのいずれかに接続しようとしたかどうかログを確認するのが良いでしょう。
■ お使いのMacは安全ですか?
Mac用のセキュリティソリューションをぜひご検討ください。ACT2の下記のIntego製品ページで機能や目的に合った製品を選択し、早めにインストールしておきましょう。
さてさて、早いもので、明日からもう 11月ですね!
年内のラストスパート、元気にがんばりましょう。
皆様のご健康とご活躍を祈念しております。
株式会社アクト・ツー
Software Product Team
Copyright © 2022 act2, Inc. All Rights Reserved.
0 件のコメント:
コメントを投稿