こんにちはいつもact2ブログをご覧いただき、ありがとうございます。
標的攻撃で使用されるMacマルウェア、DazzleSpy
(この記事は、2022年1月25日にJoshuaLong
(https://www.intego.com/mac-
Security Blogに投稿されたDazzleSpy Mac Malware Used in Targeted
Attacksの翻訳です)
DazzleSpyは、
深いことに、
持っています。
Integoでは、このマルウェアの複数の構成要素をOSX/
OSX/Exploit.Agent.C、そしてJS/
この脅威のどこが特徴的で、
この記事では、次の点を見ていきます:
●DazzleSpyはどのように発見されたのか。
●
●DazzleSpyや他の脅威を除去、あるいは防御する方法。
●
●DazzleSpyマルウェアは作者は誰なのか。
●セキュリティ侵害インジケーター(Indicators of compromise: IoCs)
●DazzleSpyには別名があるのか。
■DazzleSpyはどのように発見されたのか。
2021年11月に、
ウェアのキャンペーンについて調査していました。
特定の興味を共有するグループを感染の標的とした、
使ったものです。このケースでは、
人々でした。
GoogleのErye Hernandez氏のThreat Analysis
Group(TAG)が、
(https://blog.google/threat-
Hernandez氏は、この水飲み場攻撃はmacOSBig Surの現在のバージョンには
すでに影響しない古い脆弱性(CVE-2021-30869)
macOSCatalinaでは感染が可能としています。
この脆弱性が明らかになってから、
12.5.5のパッチを公開しました(Integoによる解説:
https://www.intego.com/mac-
そして同日、Appleは、
セキュリティリリースノートを更新し、
いたことを公表しました。
Appleが2月に当時最新のmacOSのバージョンに対して密
していたにも関わらず、
システムでパッチを提供せず、
事実を認め、
ことになります。これまでも触れたように、
ユーザのセキュリティとプライバシーを危険に晒す可能性がありま
(https://www.intego.com/mac-
自らを守るには、
重要です。
なものを含め全てが提供されているわけではないのです。
Hernandez氏は、Googleが「この脅威の背後には、
品質の高さから自身のソフトウェアエンジニアを抱え、
潤沢なリソースを持つグループがいる」
このペイロードのマルウェアファミリーを“MACMA”と呼び、
Wardle氏は繰り返し現れるコード文字列から“CDDS”
今週、ESETの研究者、Marc-Etienne M.Léveillé氏およびAnton
Cherepano氏が同じ水飲み場攻撃キャンペーンを独自に調
しました。
(https://www.welivesecurity.
彼らの分析は、
したが、脅威の背後については同様の結論に達しています:「
ンで使われている手法の複雑さから、
は強力な技術的能力を持っていると判断します」。
この研究者達は、この脅威の背後にいるものは、
いない脆弱性について知識があり、感染したMacとコマンド&
(C&C)
います。
ESETでは、
このマルウェアファミリーを“DazzleSpy”
■
DazzleSpyは、さまざまな機能を持っていますが、
情報を盗むことに注力しているようです。
●Macのユーザ名、Wi-Fi
SSID(ネットワーク名)、IPアドレス、
可能性がある他の情報を収集します。
●デスクトップ、書類、
リストを作成し、攻撃者がファイルを検索できるようにします。
●
します。
●被害者のオペレーティングシステムが脆弱性CVE-2019-
ほど古い場合、キーチェインからパスワードを盗みます。
●データを抜き取って攻撃者が管理するサーバに送ります。
●ファイルからcom.apple.
迂回します。
●LaunchAgentを使って、
●自身を除去します(被害者がMacの感染に気付き、
場合など)。
同じサイトと方法で拡散される、
Macマルウェアは、
このマルウェアは、
Googleによる分析では、
出せるのか明確にしていませんが、
キー入力を記録できるとしています。
■DazzleSpyや他の脅威を除去、あるいは防御する方法
残念なことに、Gatekeeper、XProtect、
)といったAppleがmacOSに内蔵する脅威対策では、
できません。そのため、
です。
関連記事: Do Macs need antivirus
software?(https://www.intego.
IntegoのMac Premium Bundle
X9(https://www.act2.com/
X9(https://www.act2.com/
X9は、DazzleSpyおよびMacma/
Macを防御します。VirusBarrierは、
Appleの保護方法より多くのマルウェアに対応します。
お使いのMacが感染している可能性を疑っているなら、
から防御したいなら、
ルタイムスキャン
(https://www.intego.com/mac-
が可能なアンチウイルスソフトウェアの導入をお勧めします。
IntegoのVirusBarrierX9なら、
フォームなマルウェアなどからもMacを保護できます。
Integoは、AV-Comparatives
(https://www.av-comparatives.
およびAV-TEST
(https://www.av-test.org/en/
という二つの独立系の試験で、Macマルウェアの検出率100%
補足: 古いMac OS X(macOS)でIntegoのVirusBarrier
X8、X7(2013)、あるいはX6を使っているお客様も、
されています。しかし、
デートで常に保護されるためにも、
アップグレードすることをお勧めします。
■
amnestyhk[.]orgおよびfightforhk[.
標的とする目的のため、
ようです。
しかし、
この脅威の背後にいるものは、
ようです。しかも、
Catalina以前のユーザを狙い撃ちしているようです。
ここまで標的を絞り込むということは、本当の標的は一人、
グループなのかもしれません。
これらのキャンペーンでは、他にapple-
appleid-server[.]
あるいは初心者にAppleのドメインと勘違いさせる意図は明白
いずれもAppleが所有しているものではありません。
GoDaddyで登録されており、
投稿を公開したのと同じ11月11日に更新されています。
ンの一つは同日あるいはその後に他の悪意あるキャンペーンで再利
フシがあります
{Vulners(https://vulners.com/
およびHybridAnalysis
(https://www.hybrid-analysis.
を参照ください}。
■DazzleSpyマルウェアは作者は誰なのか。
このマルウェアが香港の民主化を謳うサイトで拡散されたことを見
DazzleSpyを拡散させたのが誰であれ、HongKong
いないことは明らかでしょう。
面白いことに、
DazzleSpyのコードに埋め込まれたいくつかのテキスト文
いう開発者のMacのユーザ名のようなのです:
/Users/wangping/pangu/create_
もちろん、これが偽装工作の可能性もあります。
のその他の側面の洗練されている状況から考えて、
形で流出させるのは不自然でしょう。
一方、間の抜けた開発者が過去にいたのも事実です;
次のIntegoのMacマルウェアに関する白書を参照ください
:
■セキュリティ侵害インジケーター(Indicators of compromise: IoCs)
以下のSHA-256ハッシュがDazzleSpy、CDDS/
ウェアキャンペーンに関連する既知のファイルに属しています:
Mach-Oバイナリファイル:
341bc86bc9b76ac69dca0a48a328fd
4c67717fdf1ba588c8be62b6137c92
570cd76bf49cf52e0cb347a68bdcf0
623f99cbe20af8b79cbfea7f485d47
8fae0d5860aa44b5c7260ef7a0b277
9b71fad3280cf36501fe110e022845
a63466d09c3a6a2596a98de36083b6
bbbfe62cf15006014e356885fbc744
cf5edcff4053e29cb236d3ed1fe06c
d599d7814adbab0f1442f5a10074e0
df5b588f555cccdf4bbf695158b10b
f9ad42a9bd9ade188e997845cae1b0
JavaScriptファイル:
7965c61a4581f4b2f199595a6b3f0a
9d9695f5bb10a11056bf143ab79b49
bc6e488e297241864417ada3c2ab9e
cbbfd767774de9fecc4f8d2bdc4c23
Bashシェルスクリプトファイル:
f31e42c04f0cb27fddb968a59088c4
ディスクイメージファイル:
f0b12413c9d291e3b9edd1ed1496af
暗号化されたserver.
3d20386ce4ab7094314afd30bc12a6
関連するAndroid ELFマルウェアファイル:
5d2a59720f23838eb72a6fb2003ede
5fff034e2a96d6b868957a1b43042d
*Integoが初めて報告
感染したMacでは、
~/.local/security.zip
~/.local/security/
~/.local/security/
~/.local/softwareupdate
~/Library/LaunchAgents/com.
~/Library/LaunchAgents/com.
~/Library/Preferences/lib/
~/Library/Preferences/Tools/
~/Library/Preferences/Tools/
~/Library/Preferences/Tools/at
~/Library/Preferences/Tools/
~/Library/Preferences/
~/Library/Preferences/
~/Library/Safari/Safari.app/
~ 記号は、/Users/
なお、上記の~/.localフォルダは、
ルトでは、その名前が.(ピリオド)
macOSによって隠されています。
⌘⇧.(Command-Shift-ピリオド)
隠されているファイルのほとんどは危険がありませんので、
確信がない限り隠されていたファイルを削除したり、
いけません。
次のIPアドレス、ドメイン、
キャンペーンで使われています。ネットワーク管理者は、
11月の間、
あるいはドメインに接続していないかログを調べると良いでしょう
88.218.192[.]128:5633
103.255.44[.]56:8371
103.255.44[.]56:8372
123.1.170[.]152
207.148.102[.]208
amnestyhk[.]org
apple-webservice[.]com
appleid-server[.]com
fightforhk[.]com
http://103.255.44[.]56:8371/
http://103.255.44[.]56:8371/
http://103.255.44[.]56:8371/
http://103.255.44[.]56:8371/
http://103.255.44[.]56:8372/
https://amnestyhk[.]org/ss/
https://amnestyhk[.]org/ss/
https://amnestyhk[.]org/ss/
https://amnestyhk[.]org/ss/
https://appleid-server[.]com/
https://appleid-server[.]com/
https://www.apple-webservice[.
注意: 上記の*は、ワイルドカード文字として使われています。
次のURLに危険はありませんが、
ですので、
可能性があります:
https://bc.d100[.]net/Product/
■DazzleSpyには別名があるのか。
他の開発元によるこのマルウェアキャンペーンの脅威の構成要素の
次のようなものがあり得ます:
Adware/Macma!OSX、Artemis!
Backdoor:MacOS/Macma.A!MTB、
Backdoor:MacOS/Macma.C!MTB、
Backdoor/JS.Macma、Backdoor/
Backdoor/OSX.Macma.2575107、BV:
[Trj]、DazleSpy、Dropper.Agent/
(CLOUD)、E32/DroidRooter.A、Elf.
Exploit.Generic-JS.Save.
HEUR:Backdoor.OSX.Macma.a、
HEUR:Trojan-Dropper.AndroidOS.
HEUR:Trojan.OSX.Agent.gen、
[Expl]、JS.Exploit.ShellCode.c、
Mac.BackDoor.Macma、Mac.Trojan-
[Trj]、MacOS:Macma-B [Trj]、MacOS:Macma-C [Trj]、MacOS:Macma-D
[Trj]、MacOS:Macma-E
[Trj]、macOS.Macma、MacOS/Agent.
Malware.OSX/Macma.lvyms、
OSX.DazzleSpy、OSX.S.Agent.
Osx.Trojan.Agent.Llrp、OSX/
OSX/Macma.A!tr、OSX/Macma.B!tr、
OSX/Macma.E!tr、OSX/Macma.
OSX/Macma.lvyms、OSX/Macma.
OSX/Macma.qmfus、OSX/Macma.
PrivacyRisk.SPR/ANDR.
Script.Trojan.45123.GC、Script.
Script.Trojan.A3370311、SPR/
TROJ_FRS.0NA103A422、TROJ_FRS.
TROJ_FRS.0NA103KT21、TROJ_FRS.
TROJ_FRS.VSNTKG21、TROJ_FRS.
Trojan:MacOS/Macma.B、Trojan:
Trojan:Win32/Casdet!rfn、
Trojan.AndroidOS.Agent.C!c、
Trojan.DroidRooter.Android.88、
Trojan.Macma.OSX、Trojan.MacOS.
Trojan.OSX.Agentb.4!c、Trojan.
Trojan.OSX.Macma.l!c、Trojan.
Trojan.UKP.Linux.4!c、TrojWare.
VirTool:Win32/Aicat.A!ml