こんにちは、いつもact2ブログをご覧いただき、ありがとうございます。
SysJoker:
Mac、Windows、
(この記事は、2022年1月13日にJoshuaLong
(https://www.intego.com/mac-
によってMacSecurity Blogに投稿された
SysJoker: Cross-Platform Backdoor Malware for Mac,Windows, and Linuxの翻訳です)
SysJokerは、
ただし、
するクロスプラットフォームのマルウェアです。
Integoは、このマルウェアの複数の構成要素をOSX/
OSX/SysJoker.lct、Linux/
この新しい脅威の特徴を見てみましょう。
■SysJokerは、どのように発見されたのか
Intezer(https://www.intezer.
SysJokerは「
攻撃の中で初めて見つかりました」とします。
MacおよびWindowsを狙う亜種は、
ウェアが見つかったのは2021年12月ですが、
稼働していた可能性があります。
■SysJokerに感染するとどうなるのか
SysJokerは、
いますが、実際には感染したコンピュータからMACアドレス、
そしてIPアドレスなど特定の情報を収集することがこれまでにわ
そのため、その本来の目的は諜報活動、
考えられます。
macOS
SysJokerの基本となるコンポーネントは、
(https://en.wikipedia.org/
リーム(https://en.wikipedia.org/
偽装され、types-config.
IntelでもApple独自のチップであるM1チップでも感染
Mach-O(https://en.wikipedia.
このマルウェアは、
技術を搭載しています。コマンド&コントロール(C&C)
ため、追加の命令を受け取ったり、
ロードして機能をアップグレードすることができます。
■SysJoker、あるいは他の脅威を除去する方法
残念なことに、AppleがmacOSに搭載する公証、
MRTといった脅威を排除するための機能は、
そのため、
関連記事: Do Macs need antivirus
software?(https://www.intego.
IntegoのMac Premium Bundle X9やMac Internet Security
X9(https://www.act2.com/
X9は、SysJokerマルウェアを検出および除去します。
専門家によって開発され、
保護します。
お使いのMacが感染していると思われる場合、
したい場合は、IntegoVirusBarrierX9のよう
信頼できるMac用のメーカが提供するアンチウイルスソフトウェ
検討してください。なお、VirusBarrierX9ならM1チップにネーティブなマルウェアや
クロスプラットフ
最近のAV-Comparatives
(https://www.av-comparatives.
およびAV-TEST
(https://www.av-test.org/en/
という2つの独立系の試験でMacを狙うマルウェアの検出率10
注意: 古いMac OS XでVirusBarrier
X8、X7、あるいはX6を使うIntegoのユーザも、
とはいえ、
適用するためにも常にmacOSを最新バージョンにアップグレー
最新のVirusBarrierを使うことをお勧めします。
■SysJokerが利用するドメインから現時点でわかること
Patrick
Wardleが指摘したように、このマルウェアがC&
考えられるgraphic-updater[.]
IPアドレスに解決されます。この火曜日の時点では、
レスに接続すると、
一覧が表示されます:
https://www.intego.com/mac-
興味深いのは、
いうことです。このApacheのバージョンは、
多くの既知の脆弱性が存在します。そのため、
配布者が、C&
して乗っ取ったということもあり得ます。
この木曜日の時点では、
オフラインになっています。さらに、
いたgithub[.]url-mini[.]
関連した2個のテキストファイルをGoogleDriveから除
■セキュリティ侵害インジケータ(Indicators of compromise: IoC)
Macを狙う多くのマルウェアと異なり、
開発者IDで署名されていません。代わりに、types-
test-
アドホック署名を使っています。
以下のSHA-256ファイルハッシュは、
既知のSysJokerファイルのものです:
1a9a5c797777f37463b44de2b49a7f
a26c69d3221eaca93eb29f3c7b67bc
bd0141e88a0d56b508bc52db4dab68
d028e64bf4ec97dfd655ccd1157a5b
1ffd6559d21470c40dcf9236da51e5
61df74731fbe1eafb2eb987f20e522
*Integoによって初めて報告されたハッシュ
感染したMac上では、
/Library/LaunchAgents/com.
/Library/MacOsServices
/Library/MacOsServices/
/Library/SystemNetwork
~/Library/LaunchAgents/com.
~/Library/MacOsServices
~/Library/MacOsServices/
~/Library/SystemNetwork
上の ~
記号は、例えば「/Users/username」
意味します。
次のドメイン、IPアドレス、そしてGoogle
Driveに保管されているファイルが、
れます。ネットワーク管理者は、
コンピュータがこれらのサイトにコンタクトしたか調べると良いで
23.254.131[.]176
bookitlab[.]tech
github[.]url-mini[.]com
graphic-updater[.]com
office360-update[.]com
winaudio-tools[.]com
drive[.]google[.]com/uc?
drive[.]google[.]com/uc?
■SysJokerの別名
他のセキュリティソフトウェアのメーカでは、
名称に次のような名前を含める可能性があります:
Backdoor:MacOS/SysJoker.A、
Backdoor.OSX.SysJoker.gen、
Backdoor/OSX.Agent.360176、
BehavesLike.Win32.Vundo.ch、
ELF:Joker-A[Trj]、Linux.
LINUX/Agent.xbpol、Linux/
Mac.BackDoor.SysJoker.1、MacOS:
Mal/Generic-S + Troj/DwnLd-VP、Mal/Generic-S +
Troj/Steal-CFG、Osx.Backdoor.
OSX/SysJoker.A!tr、RDN/
Trj/GdSda.A、TROJ_FRS.VSNTAC22、
Trojan:Linux/Vigorf.A、Trojan:
Trojan.Linux.OUTBREAK.
Trojan.MAC.SysJoker.A、Trojan.
Trojan.Win32.Sysjoker、W32.
そしてWin32/SysJoker.Aです。
株式会社アクト・ツー
Software Product Team
一同