2023年7月10日月曜日

Mac を狙うマルウェア "JokerSpy" バックドアの感染確認


(この記事は、2023年6月23日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたJokerSpy backdoor Mac malware discovered in the wildの翻訳です)


この6月に2つの研究チームが、JokerSpyと名付けられた新しいMacマルウェアファミリーを個別に発見しました。このマルウェアの初期段階にクロスプラットフォームのコンポーネントが含まれていることから、JokerSpyにはWindowsおよびLinux版も存在することが示唆されています。


この新しいMacを狙う脅威がどのようなものか、そしてどのように身を守れば良いか説明したいと思います。


◾️JokerSpy Macマルウェアの動作


まず現時点では、根本的な感染経路(マルウェアがMacに侵入する方法)はわかっていません。


分かっているこのマルウェアが実行された際の最も初期の機能は、追加コンポーネントをダウンロードするために使われるPythonバックドア(ファイル名 sh.py)です。“日本の著名な仮想通貨取引所”での感染では、このマルウェアが機能追加のためにSwiftBeltをダウンロードすることが観察されています。SwiftBelt( https://github.com/cedowens/SwiftBelt )は、Mac専門のオフェンシブ・セキュリティのエンジニアであるCedric Owens氏が開発したレッドチーム用の合法ツールです。残念なことに、JokerSpyの配布者のような犯罪者によって善意のツールが悪用されることもあるのです。


JokerSpyのようなマルウェアがシステムに侵入して感染すると、攻撃者はシステムの多くの部分を制御できるようになります。バックドアがあれば、攻撃者はバックグラウンドで追加コンポーネントをインストールし、さらに危険な攻撃を実行し、ユーザの行動を監視し、ログイン情報や暗号通貨のウォレットを盗んだりできるようになります。


◾️JokerSpyや他のMacを狙うマルウェアの除去および防御


Integoのバンドル製品に含まれているIntego VirusBarrier X9( https://act2.com/intego )は、このMacを狙うマルウェアを検出して除去できます。Intego製品は、この脅威のコンポーネントをOSX/JokerSpy、Python/JokerSpy、あるいはadware/OSX/Agent.jlejbのような名前で検出します。


お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです( https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ )。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。


注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。


◾️JokerSpyとSysJokerとの関係


2022年2月の記事で触れたSysJoker( https://www.intego.com/mac-security-blog/sysjoker-cross-platform-backdoor-malware-for-mac-windows-and-linux/ )が、今回のJokerSpyと関係している証拠はありませんが、いくつかの点では似ているとも言えます。どちらもmacOS、Windows、そしてLinux PCに感染するコンポーネントを持つクロスプラットフォームのバックドアマルウェアファミリーです。そして、どちらもGitHubに似たドメインを使っている点も興味深いところです。


JokerSpyの名前の“joker”は、その開発者のmacOSログイン名から来ており、“Spy”も/Users/joker/Downloads/Spy/XProtectCheck/というJokerSpyのmacOS実行ファイルの一つと同じパス文字列で見つかります。


研究者グループの一つは、JokerSpyマルウェアの特定のサンプルは、2023年4月の記事で触れたSmoothOperator Trojanized 3CXソフトウェア( https://www.intego.com/mac-security-blog/smoothoperator-3cx-voip-app-spreads-mac-malware-by-lazarus-group-apt/ )のペイロードと“よく似たコードシグネチャーを持つ”としています( https://www.elastic.co/security-labs/inital-research-of-jokerspy ) 。


◾️JokerSpyのセキュリティ侵害インジケータ(IoC)


次のSHA-256ハッシュがJokerSpyマルウェアのキャンペーンと関係している可能性があります:


39bbc16028fd46bf4ddad49c21439504d3f6f42cccbd30945a2d2fdb4ce393a4

5fe1790667ee5085e73b054566d548eb4473c20cf962368dd53ba776e9642272

6d3eff4e029db9d7b8dc076cfed5e2315fd54cb1ff9c6533954569f9e2397d4c

8ca86f78f0c73a46f31be366538423ea0ec58089f3880e041543d08ce11fa626

951039bf66cdf436c240ef206ef7356b1f6c8fffc6cbe55286ec2792bf7fe16c

aa951c053baf011d08f3a60a10c1d09bbac32f332413db5b38b8737558a08dc1

d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8


次のコマンド&コントロール(C&C)ドメインが、このマルウェアに関連して使用されているとの報告があります:


git-hub[.]me

app.influmarket[.]org


ネットワーク管理者は、ネットワーク通信ログを調べればネットワーク内のコンピュータが感染して前出のドメインに接続しようとしていないか確認することができます。


研究者、Mauro Eldritch氏の2023年2月の記事によれば、前出の最初のドメインは“QRLog” Java RATに関連して見つかっているそうです( https://twitter.com/MauroEldritch/status/1624033136269991938 )。当初の分析内容はすでにオンラインにありませんが、Bingのキャッシュ版( https://cc.bingj.com/cache.aspx?q=https%3a%2f%2fgithub.com%2fMauroEldritch%2fQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm )およびインターネット上のアーカイブバックアップ( https://web.archive.org/web/20230623212358/https://cc.bingj.com/cache.aspx?q=https%3A%2F%2Fgithub.com%2FMauroEldritch%2FQRLog&d=4934698636089350&mkt=en-US&setlang=en-US&w=TfrTJAiizqLECoV_-hJHTjHHdXnE5IKm )があります。


◾️JokerSpyの別名


他のメーカによるこのマルウェアキャンペーンに関連する危険なコンポーネントの呼称には、次のような名前が含まれています:


Adware.ADWARE/OSX.Agent.gedwx、Adware.ADWARE/OSX.Agent.jlejb、Adware/Joker!OSX、Backdoor.Python.JokerSpy.a、Backdoor.Python.JokerSpy.b、HEUR:Trojan.OSX.JokerSpy.a、Joke:MacOS/Multiverze、MacOS:Joker-B [Trj]、OSX.Trojan.Gen、OSX/JokerSpy-A、OSX/Spy.Joker.A、Python:Joker-A [Trj]、Python:Joker-B [Trj]、Python/Spy.Joker.A、Riskware.OSX.Agent.1!c、Trojan Horse、Trojan:Python/PyJoker.AC、Trojan.MAC.JokerSpy.A (B)、Trojan.MAC.JokerSpy.A [many]、Trojan.MAC.JokerSpy.C (B)、Trojan.OSX.JokerSpy.4!c、Trojan.Python.JokerSpy.A (B)、Trojan.Python.JokerSpy.B (B)、Trojan.Python.JokerSpy.C (B)、Trojan.Script.JokerSpy.4!c、Trojan.Win32.FRS.VSNW15F23


■お使いのMacは安全ですか?


Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego


(EOF)

0 件のコメント:

コメントを投稿