2023年3月22日水曜日

オレの/私の Mac の CPU を裏で勝手に使うな〜!(クリプトジャッカー)


 いつもact2 ブログをご覧いただき、誠にありがとうございます。


今日の内容は、海賊版アプリで見つかった“Honkbox”と呼ばれるMacを狙うクリプトジャッカー(詳細は後述)についてです。


(この記事は、2023年3月9日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたCryptojacking Mac malware “Honkbox” found in pirated appsの翻訳です)


ここ数週間で、Macを狙うクリプトジャッカーおよびコインマイナーに関する複数の報告が出てきました。ちなみに後述しますが、このトロイの木馬マルウェアをAppleは“Honkbox”と呼んでいます。この記事では、Honkboxについて現時点でわかっている情報を紹介するとともに感染した場合に除去する方法を説明します。


■Honkboxの歴史と見つかった経緯


2022年2月21日と昨年の早い時期にTrend Microの研究者であるLuis Magisa氏が、後にはHonkboxと呼ばれるこのマルウェアについて公には初となる報告を発表しました。Magisa氏は、マルウェアを「最新のMacを狙うコインマイナー」と説明し「オープンソースのバイナリとI2Pネットワークを利用する」としています(仕組みの詳細については、後述します)。


2023年2月23日には、Jamfの研究者達が独自の研究を発表し、そこでこのマルウェアをMac用の海賊版ソフトで見つかった「回避機能を持つクリプトジャッカーマルウェア」と呼んでいます。この報告によると、Jamfはこの研究結果を発表するまでこのマルウェアファミリーの最近の開発状況を数ヶ月に渡り追いかけていたとしています。なお、IntegoもJamfが発表する数ヶ月前から、多くのHonkbox関連のコインマイナーマルウェアを内々に調査していました。


このマルウェアの新しい亜種は、Jamfの定期的な脅威ハンティングの過程で、クロスプラットフォームの暗号通貨マイニングソフトであるXMRigを追加してトロイの木馬化されたAppleのFinal Cut Proの海賊版として発見されました。余談ですが、IntegoではAppleのポリシーに違反する同様のマイニングソフトであるXMR-Stakを使ったMac App Store内のPUAについて以前に書いています( https://www.intego.com/mac-security-blog/unwanted-cryptomining-debuts-briefly-in-mac-app-store/ )。


このマルウェアは、ペイロードのダウンロードや発掘された暗号通貨をマルウェアの開発者に送信するなどの不正なネットワーク処理を隠すためにTorに似た不可視インターネットプロジェクト(Invisible Internet Project、あるいはI2PやI2PD)技術を採用しています。弊社や他の研究者の知る限り、これがI2Pを利用する初めてのMacを狙うマルウェアとなります。ちなみに、I2PDもXMRigもオープンソースのユーティリティです。


Jamfの研究チームはBitTorrentのファイル流通サイトであるThe Pirate Bayのミラーを介して、このマルウェアの世に出回っているサンプルを見つけることができたのです。なお、トロイの木馬化されたFinal Cut Proの海賊版を共有するユーザと同じユーザが、2019年8月から非公式の多くの他のアプリも提供していました。こうしたトロイの木馬の中には、AppleのLogic Pro X、Adobe Photoshop、Adobe Illustrator、Adobe Zii(製品のアクティベーションソフト)、Ableton Live、そしてCleanMyMac Xなどがあります。SentinelOneのPhil Stokes氏は、2019年11月1日のRedditの投稿をHonkboxに感染したユーザが初めて公に助けを求めた投稿だとしています( https://www.reddit.com/r/MacOSBeta/comments/dq39s6/anyone_else_getting_comappleaccnetwork_requesting/ )。


これまでマルウェアの開発者は、主なアンチウイルスソフトによる検出を免れるために、その危険な処理を隠すための次の例のような新たな方法を常に生み出してきました。クリプトマイナーはプロセッサ処理に多大な負荷をかけてコンピュータの動作が遅くなるため、今回のマルウェア開発者はユーザがアクティビティモニタを開いたことを感知する機能を追加しています。マルウェアがアクティビティモニタの起動を感知すると、ユーザにシステム処理速度の低下の原因として察知されないように即座にマイニング処理を停止するのです。さらにユーザがサードパーティのプロセスモニタを使っている場合にも備えて、一目では分からないようなmdworker_local、mdworker_shared、そしてmdworker_watchdというSpotlightの正式なシステムプロセスの名前で偽装しています。


Jamfの報告に続いて、AppleはmacOSに内蔵された基本的な“マルウェア対策”機能であるXProtectにこのマルウェアのシグネチャを追加しました( https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/#xprotect-applesmalwaredetectionengine )。Stokes氏は、今回のアップデートは Appleがそのシグネチャを最後にアップデートした昨年の11月10日から( https://eclecticlight.co/2022/11/10/apple-has-pushed-updates-to-xprotect-and-xprotect-remediator-4/ )この2月2日( https://eclecticlight.co/2023/02/22/apple-has-released-an-update-to-xprotect/ )の間の3ヶ月と12日ぶりのアップデートだとしています。この間に一度もシグネチャがアップデートされていないことを考えると、やはりMacにはアンチウイルスソフトの導入が必要だと考えられます( https://www.intego.com/mac-security-blog/do-macs-need-antivirus-software/ )。Appleが内蔵する保護機能は最低限で十分とは言えず、またアップデートもほとんどされません。Trend MicroおよびJamfはこのマルウェアに特別な名前を付けませんでしたが、Appleはそのシグネチャでまず“HONKBOX”という名前を使い、それにA、B、およびCというバリエーションを与えました。Stokes氏はHonkboxマルウェアについてさらに調査を続け、3月1日にその結果を発表しました。


■感染したコンピュータでHonkboxが何をするか


Honkboxマルウェアは、トロイの木馬化された海賊版ソフトを使って拡散しています。その目的はマルウェアの開発者のために感染したコンピュータを使って暗号通貨をマイニングさせることのようです。許可なくデバイスを使って暗号通貨をマイニングする、いわゆるクリプトジャッカーは、感染したデバイスの処理を著しく遅くする傾向があります。また、クリプトジャッカーはデバイスを異常に発熱させます。


Honkboxの初期の亜種は、感染したMacが再起動すると自動で再度開くしつこい機能を持っています。最近のHonkboxの亜種は、見つかりにくく、感染したデバイスで海賊版ソフトを開いた時にだけ(あるいは開こうとした時にだけ)再度有効になります。このマルゥエアは、Appleのプロセス名を使ったり、ユーザがシステムの処理速度低下の原因を調べようとしてアクティビティモニタを開いても処理を一時停止するなどして偽装を試みます。


■Honkboxマルウェアの開発者


“wtfisthat34698409672”というThe Pirate Bayのユーザが、このマルウェアを拡散させている一人であることがわかっています。Honkboxの主な目的がマルウェアの開発者のための暗号通貨マイニングだとすると、このユーザがマルウェアの開発者か、開発者と近しい者である可能性が高そうです。


最近のMacを狙うマルウェアの開発者は、最新のmacOSでも正常に動作するようにマルウェアを署名し、かつAppleの公証を取得( https://www.intego.com/mac-security-blog/topic/notarization/ )するようになっています。そして、このマルウェアの亜種に署名しているApple Developer IDの一つは、本名ではないと思いますが“Mucke N.S. Doo”です。


■Honkboxマルウェアについてさらに知っておくべきこと


macOS Venturaでは、悪意を持って改造された(つまりトロイの木馬化された)アプリを実行することは以前より困難です。そのため海賊版ソフトの多くは、macOS Venturaで起動しようとするとエラーになって起動しません。ところが、その裏でマルウェア自体はそっと起動していることがあるのです。ユーザは不審に思うことがあってもマルウェアの存在までは気が回らず、騙されたことに気づく頃には既にシステムでマルウェアが動作しているわけです。


ちなみに、macOS Venturaで海賊版のアプリが署名の確認に失敗した際には、次のようなメッセージが表示されます:


「“Final Cut Pro”は壊れているため開けません。ゴミ箱に入れる必要があります。

    このファイルはダウンロードされたものです。ダウンロードされた日は不明です。

    (ゴミ箱に入れる) (キャンセル)」


興味深いのは、このマルウェアのBおよびCの亜種では、Macが再起動した際に自身を自動で再度起動するための機能を持っていないことです。マルウェアの開発者は、その代わりにユーザがトロイの木馬化されたアプリを開いた時にだけ自身を自動で再起動する方法を採用しています。いずれにしろ前述のmacOS Venturaでの仕様変更により、Venturaで実行されるこのマルウェアの数は、以前のmacOSのバージョン実行される数より少ないでしょう。


macOS Venturaのユーザにはこうした危険な改造アプリに対して以前より強固な保護が提供されているという事実が、セキュリティのことを考えるなら常に最新バージョンのmacOSを使用するべきである理由の一つです( https://www.intego.com/mac-security-blog/apples-poor-patching-policies-potentially-make-users-security-and-privacy-precarious/ )。


前述の通り、HonkboxがMacでネットワーク通信を隠す不可視インターネットプロジェクト(I2P)を利用する初めてのマルウェアです。Magisa氏は、同様の目的を持つKeRanger and Eleanor(2016)やDok(2017)などのMacを狙うマルウェアではこれまではTor(あるいはTOR、またはThe Onion Router)を採用していたとします。


■Honkboxや他のMacを狙うマルウェアを除去、あるいはマルウェアからの保護


Integoのセキュリティバンドル製品に含まれているIntego VirusBarrier X9は、Macを狙うマルウェアを検出および除去してMacを守ります( https://www.act2.com/intego )。Integoのソフトウェアは、今回のマルウェアの構成要素を「OSX/Honkbox」、「OSX/CoinMiner」、「OSX/Miner」、そして「OSX/Agent」として検出します。


お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネイティブ対応しています。


なお、トレントを使ってソフトウェア(あるいはその他の海賊版コンテンツ)をダウンロードすることは絶対に避けるべきです。トレントサイトがいかにマルウェアの巣窟になっているかについては、過去の記事を参照ください( https://www.intego.com/mac-security-blog/why-bittorrent-sites-are-a-malware-cesspool/ )。


注意: 古いバージョンのMac OS X上でVirusBarrier X8、X7、あるいはX6をお使いのお客様も、この脅威から保護されています。とは言え、お使いのMacにAppleが提供する最新のセキュリティアップデートを適用するためにも、可能であればmacOSを最新の状態にアップグレードし、VirusBarrierも最新バージョンに無償アップグレードすることをお勧めします。


■Honkboxのセキュリティ侵害インジケータ(IoCs)


Magisa氏とStokes氏は、次のファイルパスがHonkboxマルウェアと関連しているとします。ティルダ(~)記号は、例えば /Users/admin のように特定のユーザのホームフォルダを意味します:


~/.i2pd/tunnels.conf

~/.i2pd/tunnels.d

/Library/LaunchDaemons/com.ableton.LiveEventd.plist

/Library/LaunchDaemons/com.apple.acc.installer.v1.plist

/private/tmp/com.apple.acc.installer.v1.plist

/private/tmp/i2pd/._pid

/private/tmp/installv3_md5

/private/tmp/installv3.sh

/private/tmp/lauth

/usr/local/bin/com.apple.acc.installer.v1

/usr/local/bin/com.adobe.acc.localhost

/usr/local/bin/com.adobe.acc.network

/usr/local/bin/liveeventd

/usr/local/bin/liveeventd.sh

/usr/local/bin/livelocalserviced


次の177個のハッシュを持つファイルが、Hankbox関連のマルウェアキャンペーンに関係することがわかっています:


0054a66081cc686b1980cbbcf8f4c2b792fa7d50aa986baa79a367c57cbe7c96

02b3c088f88f908e1c69d88cd9427087e3b256a0654a83eb8141437ba7f052ab

035b75295e8b7286c2bd9c04f53a51708b4cb7fe3825787778244de4d437a8ae

04d8a419e1bf634e0247efbc6308a5a8355531044a2c76be09857d0d6fafaafa

066bf1e7137fa1e0733fee274fdf7480cdf5ff8cfceb0164047dc8ee91a15a00

0b15645b227245e4f5baf53a4e6899f8bbfd42ce2c53a7fea83a746d12411006

0b9a3b00302faf3297b60fff0714f2db87245a613dcd9849645bffa7c4a3df9b

0c3f47c4877d1f4079c4aa850b28a3780728a6ca94b6d3f7385ecd5df4dc9e42

0d0e8e3316db0e1ed3d0fab331cff9a67bfb18fd17e0210042edd3823136b6f1

0e41d3e3b464f3fb8c140340e6a85a376c6c17499dd6bbf7de5940d401b9e71a

115316f7a3a1e25643dc0a837ae5fd0abf36cd5f61b03f0074e72d8c0d148bfe

1153b5abea8d93b45a4a4bf704e2138fca50d034a4bf440147eed8516cd4bf2d

12f416e67d9cd74ec3488842b9bf61092f35c0ae4de467afaebba2cb3933fc26

1326f82c76c7007f5243d2bb7c458fcda359807e6ca26b71f1196604b2f30176

1ba39220d81bc327b13be4c2b788c79ae51a2db9a890c336701f8724cdf01538

1c34442c74b6f31c522c2901b364a8052d48031ad75b95f026c64e372a4fce3d

2272273f8cc692968a885d5d974e6658400fefdbedb03f061a61bd6839f963cc

24ace87331051d7d2d83bb9a89781847f47b4c00789c19b5385fce94705c3c40

257a431cc27a8aa65f5ce23eaba320dae1780640ad1012ff70c60f2f6efdf2b3

25e13d453ce5ed969beba9c63cf04fa9e1f4bdd762cdaa3ca5b47c40ae4e22d6

27158886ab064880aa5d5196248f2ad4b20b38bbb1321f72bca17351165ea3e5

2729644adea3bc14f6654d2c461cc29a6751216ce79442b6a17d90fe093235c3

28d2825b7ee97c8f6a1c6acac6fa6de28f35b10781abee65321ba0f53f9d401f

297f7887723509e999ed9c0635fbc70d7806e0928ccd4ed993a8c0bd2f0a0d1d

2af033ab24ec9d11729efb465aad8843d1ec0eb6c248967456adc83db7407251

2bd0400003bf577336a73d56ffa3aacf8902be557fddadb5425fb114ca180d9b

2ce3bea5646f9b66d407402d4891c7866d4dc3583809f4d669eda0c72a34e44d

2d604cf677b05ef1c0d1ee0758f33e8bbb4a2b1e5e9385c32ec388ddd19f5ebc

2d71c31260ffb8199b09c20a875baeed7192a84352c4cdd3a9e9c550735c7763

2f77fe48e97b7a81108eda70e4129f9dc8118fac99dff71ab7a998b6d45b55c0

3028436248053280a93c3bedbefa65cacaf6e805e98a9bde09d858db974aab09

317264e44dd520d6af53f6d3bcd0e2b2b9e595f59255d315a3a4244f069b7dd1

33114dd11009871fa6ad54797b45874d310eed2ad2f1da797f774701363be054

33a6c6a1b8cb3e8d5e3b06d75e5905f4a8628eae7382db488d9060ad06f4f28b

357c473cb0c1eb3fd228b0a8dc51fe3c29f862c5e1c497727f8274fce5bd822f

363f0367ab91805114cfe194b70bf75c983e3d1ec4aacec7dfa9c7aa3e375f05

378bd56fda7da307ff46480db9593bc5766e58668d200336074b30f7ccab90b3

38b45ef33a777dd911f1d74ea4068f1cb128674359083c3b0be585de3edbd3ac

3ca56e4330e1adb2c537105fb8ebcb2b540e8d83c3f3d7e09dd5e46f8fde2e7b

40c095d178179e9ee2fd43aa9644bcfaa49b21b9dfa27fd7cf1f73eaa7a6de65

416997b3db74871a6875bf06d44fa40053a37d465113592a4cc2ca2e05ead135

42323779c82716566c979f248262a801c9a684e183be51e5aeeb124168373ee3

42f982cde3d7aa9c5b86abe6c94119f7e4351fe84fe5ede41a1f1f2e0ab45be0

47e254aa7feb62a0633ed2a1806046cf3134c1277684a1fc8ea2e3dd6caa3795

4f81a3be98daf39ff27d3db7f9d9155ba564f7ad8f5e7f22600ad2326b29d8d6

51fa2a1a1b169eaf51c473ea5d70bb1900db85cb2d8734913ec7f918a25e3f11

5585da2d7c24727714cf7521e078a8571fe8d33d3b547bb3b527db2ad40a7fdf

55a095ff66a42f9039007c79edb989be253e96fb451a97115d2eb20ee6276a5c

55e67f84da909a422033ad25df92a53fb1255c29b4baaf7c84b43429f07a1909

58bd46dfb06afddbc22d0ef49c47c0786d7d98e93c7db1160f5bd49a7fa2147c

5c3d0bbb99e120adf610537fbaf6f2ba28d7e64b69ce7229bc0a95986d41a49b

5daa833fbea1ae715a3fc2d73702538d3fe0f119763427c404102deff7385f58

5eb458be93f0580033277668346a0186b8a275d0a375bae32bef377dc1b4f229

5eed44c7c5b7e909234db83526d2f5bfa5dfcdeaaf25543fa2254ba5f06b4c71

5efac1774453cb2085ab37ae273a2b678ec96e8d955f5c9508ececf10e99cbb2

5f951439f639b2373c83c30f6375978d0bd43a9ea0088ecd8b8c92cb6875e0cb

5fc9cf36d323a7bdb097c2810c8e420fa203ca2e4b2767a0a975455960be10b5

60b34b8bf921b0e1eefc728413e1fb8c22afde5065e6a1b5e0a61a2e254074d8

61c2ff0533bc92b409d135aab64e79390a6fa3f8307bee5ecec1f243c85521f1

61e43aafdfe722d60411993406c8f6bcc4ce313ff55e2da0961fe64d835b66fd

68fbd79ab1ee9abfffc998429c9fb626f3a94e531f14a3d4176673f1708d2e36

69f18b2abd0a213c5e1e18c6de2fc299f6e997c4988847bdf74918438fcc5ad4

71135661f2993363083768c8d1cb070bbdd9299f57b4d06197ebfc2c534847ce

731cf0317f409c5e23411efccc94fe8ebd897f625da300ccb98ad7ff4a12741c

738c7536ff7dbd95161517658f5438b5f9633ce9baef423a629ea7057a1e0c1b

7468232b6d3c4ca9555fe3be5d1a4d4764c57c41a7a78a8ceb71f2c5189abb74

7606c10c2cfdf9aabd81306a2805d0f1e41ef63a6809ef1f7d7913d1dfa21039

7be2a727d19c12b1bc07684f242214e5be3504db8d975aeec3d6f6f41c20897a

805669554e529381ac8c113e54932151dc3c2ef14fcb3bac47ebebaa62d2b108

810bb73988dc47558b220047534d6dab9a55632c1defa40a761543ebaaa2f02c

82633f6fec78560d657f6eda76d11a57c5747030847b3bc14766cec7d33d42be

845ef90acc34abfce89e3e630265f23c03581918d30256c9e3c3d65250464933

8507e76362664fe2ed9c9407e237fed900881472abd5fbbaf88d772268836031

85bc3d47a36469146f38a58f4d282b71acb16063600a58e3feb0fece933ae860

8604a10bd97099e8e5539eff05c49bc518a774bf8e7c4ef6c36d902f7fdaeb6e

8639d8928024c4b7786895660426431a987353d505472074575ff2c50edb9752

8683f22a045b53bf32cedd8ca815f784682903459d7991f9008aed5d9452a4d6

8a41a5633a485be7da1ae9430eca5bd94c0b1f3d21b39415e71024c78b31ec85

8bf8227574aa06838b00bf437bba47a6189f9606d21ee91838f9e8aceed8121a

8d78cf74f0ae3626443a78ae750c2cbf8659b1556e653fdecb769149d7637f17

9104cd6bb30916ed9b4f1ebb213cc030e8bb5667b69b823979b5d2b4dd146e31

9403c3eaee3a0d1f32e3909ce3030d8349c71f35dc78c4508fe7a44c4e55894f

950b8f52e2c62a9165f9d07abc8caaf45be12d1d059b984e344637f4f808262a

9518906dc416de6c6a5d17479244cf698b062c1d6b4425d86ee6895ce66c7c39

95756b979d11c7b8f80a952d9b64de1ccce2da256f8ebe639a804a2c2ff66065

9a8ed6ebec5d0a79e0aad8fdb229f3baa42701d87104f0f94a6bd9527797061c

9bfee899de10e0bafa3aeb3e0ee554a42de8e3a9a176e8fae5de49aaca6c2541

9c18f0fe4b87bd9c595a5374e3ed670a93e567b584b6a3592b18051a1793c2ab

a22b48ce098ad4b082c4f4de78c708294e08212ab8dfd818642f7922c8e794c3

a2909754783bb5c4fd6955bcebc356e9d6eda94f298ed3e66c7e13511275fbc4

a2c6d699834eb992b11778a8d4595e2563b2ffa9d631936baaa0c0e29c504760

a52c06bcc1f4289013f01489da82b453e687a74af13e59077565a614494ea435

a5b10a483369a040f9638bdbf0329a279bc161c617828844e8a9be7bec959b03

a892c8e0fa01f32ad96ccdf9b9a7fbbe65b7301b0cf8cf99add2eef0eefb4277

a92ca3b2e8a4f9a793e2499c5fb4ff1696936f12117f6fe2233786a04d21e107

ac5b06b7db12c0392d3adc1838e307ab0c9b14c89e596cad1b6d47a9e4aee18f

adf7c5d9298cad65c66b21d801b37ca416361dbecb5d8ab91a294c4223272dff

ae4abadd15e854c0a2c5e6c8180d567f37c1c97adc4520494ea0f15323c764df

ae66f7568a0f724eaa850cf7f405bdcc2ac15062d50380a30db553b21ef535c9

b1a11ef27ca5822f89400145f9c726b03fb7328d18f57d5d676fa2ff31eb17c1

b1fff5d501e552b535639aedaf4e5c7709b8405a9f063afcff3d6bbccffec725

b2e135c6c6c3851599b436c172f84a301ad9646f7f4a4ac6c268c135925cd538

b350c864eb3d896d3b3b0a9992f79b6a4acf1f565e2fe612af8b172253573c58

b949d5246370280cac93db9cfe9587b25c7e1e5df5cd955ba647708a7c0e474f

ba81cca31a45f01b9ae6bf704b7af7c26fb3e882cfeca1264f79ac276e3ee783

bd8f4523409538759df622d0fc9105e732d3b8becfe4bb84a9a0c1bd920ac12d

be1bb6d2b1e327aa80ac75d85632f04293b8402d27440e18f2233640962e1a4a

bfa9f7b8014efab4143fb2a77732257144f3b804ee757fb41c9971b715da53d7

bfea3de39cf1d872c6616222b567c92d9bc78b4fb3bda94e1274b75693a8398f

c0c4826e513239094c63382b5a726e056ae7f7759abc56bf807748ecfbfbb284

c4c4f074d4a6e7f10162d18105f564741e39e939b25c6af22e9f4c24746d7d1c

c5d7ee587e364b28a8b625c33b2a0ac55c7b48b865217de17235551e242314d4

cbad9d6fd5b7d2e8860735e02f3bc54b9fc0d044df508f2293a60f2741ed7a66

cc483d9aa67048f7249f970337e329280b5ceb05053796ea44476e153e392686

ce6c16fbbdc0971c19255d5e865d67e729492891808e80c9001e91872cd78885

ceb3a83a99bed19916bf941466d6ace86d4cbab333feb70908dcd5a59e1ccc74

d33a59e09b1747998e9276f1ef8067cf3c401acf1ecc05e979bb60c3531d7b7e

d4813760fb9b79d811132044628b61d5fc5b0a58dd31f0d183e40180c184a0a9

d481689c0d11c00a34812516b79316b25139b5c1ef11855b36c0a9ea89d19efd

d7ec99f0d019f476f82341dba3c2af10f71628f9ab664d05ab007fe420e0cdb1

e72ac7d99fa1f7c43b88058df8396965b4fa7089264a51950c94d53efb297558

e97758623aea98e0733b43666b5f112e40edac7ee1f9a916ca83581e0187abae

e9e2b8684c966d65e4b0d3db7956344b0291c99b2473a4384d4a4e59a6f052c2

ea28251de6a09d19f8cff7fe366c35d3826c10544a3a45426369aaf9e4b2050d

ec606d39fdf5359af96e40cfc1f226b70e7ee2ff68925eb7ad71f20c395dbab1

ee0a287d2923c57ac96e30f0da015f1e01c93c5c806aeb91e680c56aa6df1266

f24da6301f95432a63eb98f8954e1da6f7275b73d0bde76052d66a6d2e587df5

f5e57974a654c196e62e23d9282b21d5e41c8fbb0dd3a072316d4f3da3b1b5ba

f6c55df67f126d39424c087cd359d7cb30a796b637b8a2fb9f409c9c98fcde7d

f7106ee5c184bd764b94faba0d926fce48654320456fd7fd30751c56bd9f707b

fa63f4b05c71e8f02275b590a560c24740ca88268a1a62cd80a9174e188f484f

faabe528449d14515ae25c8a8e5abd7d76e6b9acf25635929dea031e30db831c

fabe0b41fb5bce6bda8812197ffd74571fc9e8a5a51767bcceef37458e809c5c

fcc902dd3ae5a1413607c3493617f33a4b2dbf03f861c18afc32821b8d47da81

fd947019a2b3269d5ba1fb7a1314e4030cfd2f3dbb3049b4f7495f7966a493c4

fe3700a52e86e250a9f38b7a5a48397196e7832fd848a7da3cc02fe52f49cdcf

ffc8cc1badc17c408b5e0e7045abbefa05ac2200c057997136880a8695f5656c

048a93a696f1bf0bdf6f6e3506d65d21a4a9f681

05b7e1864b7b570a339c8072830cdd9bcbf21d1a

0cc8e03a08baa73379ac6c55cbb18fa78b87923d

0e73071ceb9d2481361777b33b8443ec0acb0793

11e4f795551e6db0fe9a9c52eec35f134b089478

11ee7a59ecd287628ff251b435777f6d4429e40c

140790186d0c60a604c5dd9f9d2c8dbc500da1c9

163d9ce53deadd54ad50d7d0120b5db550724689

33d79b8ee94f7bd0a542863cd5a8926d8e0263d9

3a714063188b24f0392c163d7910be00216a5f04

4f0ba59e2ee80ff854bca33944f825d4c8cfe23e

5aae6e00b3ab0b32a8c75a2952674d7665b3f705

5eb0e95aa6cc68ec05103561b02d38d4f69e4980

62ed66c1835ef5558ce713467f837efde508d5e4

699da2b8d35f344121d93a74adf89349d3c8d922

6b987ffc3fd6a2bcfb931426be4118cd943737da

7312b319b84be6bde845b10ea61619c33473f784

7da20852d79f7443b88449e8ed18e092c2aaa3bb

828fb69b80e60de6f6206fd63b496cc0923082f4

8e4dff96e1740764d60fbff8cfae8c673f1a7a3f

901a08aa9996fa95e4a844c24eb7b81da0b52923

90835a1173e9ed414e8240d0e14acb13f73f642f

9e04ca30e6ae20e8d2bbf2772a93145bd4b5b8c6

9e387d79fd6412715a5a4bca02b7e27a08299c4b

a72b548ca570d8c74ed4c465716c4e37328f9bc1

b48927641b53e363d7183fe7faaaa7be8b01cec9

b5dd15e765ed5839a7d2c16c50e6cf3334c4b894

be30f974111ad50312f654db9e040c6ab99d054c

c3d062bc3fa3b4ecfc68e69a7dc26d9e0ac56538

c5b34662f22f35f3995144b24015309bbe318cd9

c64c21d2e08cb8a28e31c4d883a1e75fd1c7851b

c8d230830d0912236c48c31ad11b93707088ce9f

cc9afb9efea37aee31cd74fb064de4b732fb84b3

d4d1c97c5803162e452c79811d61e1487c9cfe62

dfcf0b6af4593f32060176768164702f45cb556b

e857a9c520402ccc6abe3244c1e93ac9e2a6ac3d

eb3a1808bd24026314bec69caadbc882f1976982

ebd417f4ab9e7bb6deaacab9de1611df67908317

ecffd9553c67478a55f7303f6cadf356101f9216

f35bddfbb82ae1b137cbd454bc18f2b859cc5882


上のリストの最初の137個のファイルのハッシュは、SHA-256ハッシュです。対応するすべてのファイルは、c0c4826e513239094c63382b5a726e056ae7f7759abc56bf807748ecfbfbb284としてVirusTotalを介してセキュリティ研究者達に公開されています。


次の40個のより短いSHA-1ハッシュのグループはJamfの報告に含まれていたものですが、この記事執筆時点ではVirusTotalにはありません。


このキャンペーンの一部では、次を含むApple Developer IDが使われています:


MUCKE N.S. DOO (XFQL4XQZYW)

F2P859A6Z6


このマルウェアに関連するコマンド&コントロール(C&C)のドメインおよびIPアドレスには、次が含まれます:


banana.incognet[.]io

download.xxlspeed[.]com

i2p.mooo[.]com

i2p.novg[.]net

i2pseed.creativecowpat[.]net

netdb.i2p2[.]no

reseed-fr.i2pd[.]xyz

reseed.diva[.]exchange

reseed.i2p-projekt[.]de

reseed.i2pgit[.]org

reseed.memcpy[.]io

reseed.onion[.]im

reseed2.i2p[.]net

thepureland[.]io

162.55.188[.]117

167.235.233[.]5

193.168.141[.]107


いくつかのDropbox URLが関連するMacを狙うマルウェアをホストしていると報告されています。これらのURLは、現在では無効になっています:


www.dropbox[.]com/s/1qo9cozv8srnx2x/PureLand%20Launcher.pkg?dl=1

www.dropbox[.]com/s/37vvqyjx6qi43ex/PureLand%20Launcher.pkg?dl=1

www.dropbox[.]com/s/3yivn8j36ramnvg/Pure%20Land%20Launcher.pkg?dl=1

www.dropbox[.]com/s/tmfj1iemicvu6t0/PureLand%20Launcher.pkg?dl=1


ネットワーク管理者はネットワーク内のコンピュータがこうしたドメイン、IP、あるいはURLに接続しようとしていたら感染の可能性があるので、最近のログを調べるべきでしょう。


■Honkboxの別名


AppleがHonkboxと命名するまで、このマルゥエアは単に“CoinMiner”や“Miner”と呼ばれていました。


最近のマルウェアキャンペーンを調べたところ、弊社のマルウェア研究チームがPureLand(あるいはVakksdr Stealer)と呼ばれるクリプトジャッカーマルウェアのファミリーが弊社のHonkboxのシグネチャと一致することを発見しました。そこで弊社ソフトの検出機能を調整し、最近のPureLandサンプルがHonkboxファミリーであると判定するようにしました。上記のSHA-256ハッシュ、ドメイン、IP、そしてURLのリストにもPureLandに関連するものが含まれています(Stokes氏も元々HonkboxとPureLandを関連付けていましたが、Integoがこのレポートを公開した後で撤回しているので、PureLandとHonkboxファミリー間の関係性の可能性には議論のあるところです)。


このマルウェアキャンペーンの構成要素に対する他のメーカの呼称には、ここに挙げたものに限りませんが次のようなものがあります:


OSX/CoinMiner.ACのバリエーション、OSX/CoinMiner.ADのバリエーション、OSX/CoinMiner.Qのバリエーション、OSX/CoinMiner.Wのバリエーション、Application.MAC.Miner.AJB、Coinminer.MacOS.MALXMR.H、Gen:Variant.Trojan.MAC.PureLand.1 (2x)、HackTool.XMRMiner!1.ADCC (CLASSIC)、HEUR:Trojan-Dropper.OSX.Agent.gen、HEUR:Trojan-Dropper.OSX.Agent.m、HEUR:Trojan-Dropper.OSX.Padzer.e、HEUR:Trojan-Dropper.OSX.Padzer.f、HEUR:Trojan-PSW.OSX.Pureland.gen、Honkbox_A, Honkbox_B, Honkbox_C, MacOS:Agent-JM [Trj]、MacOS:Agent-JQ [Trj]、MacOS:Agent-WN [Drp]、MacOS:Agent-XI [Trj]、MACOS.HONKBOX.A、MACOS.HONKBOX.B、MACOS.HONKBOX.C、MacOS/CoinMiner.A、Malware.MacOS-Script.Save.e4825366、Malware.OSX/Agent.ctche、Malware.OSX/Agent.jfggl、Malware.OSX/Agent.zobat、Multios.Coinminer.Miner-6781728-2、OSX_CoinMiner.PFL、OSX.Trojan.Agent.5V7AH3、Osx.Trojan.Coinminer.Bgow, OSX.Trojan.Gen.2, OSX/Agent.CJ, OSX/Agent.G!tr、OSX/Agent.gixtd、OSX/Agent.wguen、OSX/CoinMine-BU、OSX/CoinMine-CS、OSX/CoinMiner.bdmlu、OSX/CoinMiner.ext、OSX/CoinMiner.pjtut、OSX/CoinMiner.qfokr、OSX/Honkbox.ext、OSX/Miner.AC!tr、OSX/Miner.gen、OSX/Miner.qt、OSX/Miner.shell、Other:Malware-gen [Trj]、Password-Stealer (0040f1771)、PUA.MacOS.PURPLEPROXY.MANP、PUA.MacOS.PURPLEPROXY.MSGEM20、RDN/Generic.osx、Riskware/Application!OSX、Script.Trojan.A7586096、TROJ_FRS.0NA103BM22、TROJ_FRS.0NA104A223、Trojan (0040f28a1)、Trojan:MacOS/Multiverze、Trojan:MacOS/SAgent!MTB、trojan:OSX/Honkbox.ext、trojan:OSX/PureLand.ext、Trojan.CoinMiner.OSX.44、Trojan.Generic.D3056588、Trojan.Generic.D3EB7491、Trojan.GenericKD.50685320、Trojan.GenericKD.65762449、Trojan.I2pdMiner/OSX!1.D989、Trojan.MAC.Generic.111680、Trojan.MAC.Generic.111683、Trojan.MAC.Generic.111728、Trojan.MAC.Generic.111730、Trojan.MAC.Generic.11970、Trojan.MAC.Generic.D1B440、Trojan.MAC.Generic.D1B443、Trojan.MAC.Generic.D1B470、Trojan.MAC.Generic.D2EC2、Trojan.MAC.Miner.AFTrojan.MAC.Miner.ASTrojan.MAC.Miner.AT、Trojan.MacOS.PADZER.MANP、Trojan.MacOS.PADZER.MSMEK20、Trojan.MacOS.PADZER.MSMH321、Trojan.MacOS.PADZER.RSMSMEL20、Trojan.Malware.121218.susgen、Trojan.OSX.Agent.4!c、Trojan.OSX.Coinminer、Trojan.OSX.Generic.4!c、Trojan.Shell.Agent.cp、Trojan.Shell.Agent.CQ、Trojan.Win32.SHELL.VSNW05C23、Trojan/Bash.Generic.SC186845、Trojan/OSX.CoinMiner


■お使いのMacは安全ですか?


Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://act2.com/intego



いよいよ桜満開の時期になりました。

しかし私は相変わらず、花粉症に悩まされ、泣きながらこれを書いています....

皆様、どうか、ご健康に十分ご留意されて、新しい季節に向かいましょう!


いつもありがとうございます。

株式会社アクト・ツー

Software Product Team

2023年3月19日日曜日

詳細が不明なMacを狙うマルウェア、iWebUpdate

 


この内容は、詳細が不明なMacを狙うマルウェア、iWebUpdateが見つかったのですが、どうもすでに約5年前から出回っていたようなのです。


(この記事は、2023年2月24日にJoshua Long(https://www.intego.com/mac-security-blog/author/joshlong/)によってMac Security Blogに投稿されたMysterious Mac malware iWebUpdate discovered; is 5 years oldの翻訳です)


このバレンタインデーに、iWebUpdateと呼ばれる詳細が不明なマルウェアが見つかりました。このマルウェアの最も不思議な点は、2018年8月から4年半に渡りMacに感染し続けていたらしいのに今まで見つからなかったということです。

このマルウェアについて分かっていることを紹介してから、感染したらシステムから除去する方法について説明します。


■iWebUpdateの発見

独立系のMacセキュリティ研究者であるPatrick Wardle氏は、「Macには、未知のマルウェアが存在しているはずだ」という持論を証明するための証拠を探していました。バレンタインデーの早朝に、Wardle氏はこの考えを証明するマルウェアのサンプルを見つけて分析したとブログに投稿しました。彼は、そのサンプルはVirusTotalでの検出率が0%だったにも関わらず、探し出してから10分足らずで見つけることができたと言っています。

ちなみに、VirusTotalは誰でも感染している可能性があるファイルをアップロードして約60種類の異なるアンチウイルスエンジンを試すことで危険かどうかを判断できるサービスです。同時にマルウェア研究者は、アップロードされたファイルを様々な条件でフィルタリングしてマルウェアの可能性があるサンプルを探すことができます。

VirusTotalにあるデータによると、Wardle氏が分析したiWebUpdateファイルは2018年9月23日に不明な国から初めてアップロードされましたが、それから合計で3回アップロードされています。最初にアップロードした人が感染者だったのか、マルウェアの開発者がよくやるようにアンチウイルスエンジンによって検出されるかを調べるために試験用マシンからサンプルをアップロードしたのかまでは分かっていません。その後、2019年11月7日にルーマニアから、2023年2月10日に米国から同じファイルが2回アップロードされています。直近のアップロードが、Wardle氏の注意を引いたものです。

しかし、興味深いのはこれまでにアップロードされた回数ではなく、アップロードを経ずにアンチウイルスエンジンによって再スキャンおよび再分析のために再提出された回数なのです。何年にも渡り複数の人が同じファイルをアップロードしようとしてVirusTotalに全く同じファイルが既に登録されていることを通知され、その対応として最新の定義ファイルを使ったアンチウイルスエンジンでの再スキャンをVirusTtoalに依頼しているのです。そしてVirusTotalに最初のアップロードを含め17の異なるファイルパスが記録されている事実が、実際に感染したマシンが存在することを示唆しています。ファイルは、初めてアップロードされてからWardle氏が発見するまで20回ほどスキャンされています。そして再スキャンの回数は2021年4月で急に少なくなり、2022年には1回しかスキャンされていません。

これは、ファイルが2018年後半から2021年初頭にかけて広く拡散した可能性があることを意味します。なお、VirusTtoalへのファイルのアップロードは、ユーザが使っているMacのファイルシステムを自ら調べて不審なファイルを見つけ、VirusTotalにアップロードしていることに注意してください — 平均的なMacユーザなら、そんな面倒なことはしないし、できないでしょう。


■感染するとiWebUpdateは何をするのか?

iWebUpdateマルウェアによる感染は、感染したMacに基礎となる足場を築く第一段階の感染だと考えられます。まずは、感染したMacが再起動する度にバックグラウンドで自動的に読み込まれるように自らをシステムにインストールします。

次に感染したMacのオペレーティングシステム情報を取得し、Macの機種の情報も取得しようと試みてから、iwebservicescloud[.]comのような名前でリモートサーバからMacに侵入しようとします。その後、追加のペイロードをダウンロードしようとします。ただし、このマルウェアが最初に世に出た時と同じコマンド&コントロールシステムには、既にそのサーバが対応しないことから第二段階のペイロードが何をするのかまではもう判断できません。


■iWebUpdateの作者

コードやサーバは再利用されることがありますし、様々な要因が絡むため特定のマルウェアの開発と拡散に既知の脅威の関係者が関係するかを判定するのは極めて困難です。

Wardle氏は、このマルウェアの活動期間内の一時期にiwebservicescloud[.]comが解決していた以前のIPアドレスの一つについて興味深いことを書いています。そのIPアドレス、185.181.104[.]82は、Lazarus GroupによるMacを狙うマルウェアに関するCISAレポートに登場し、さらに言えばOperation AppleJeus( https://www.intego.com/mac-security-blog/operation-applejeus-and-osxlazarus-rise-of-a-mac-apt/ )ではIPアドレスがcelasllc[.]comに解決しているのです。必ずしも同じ脅威の開発者との関係を示すわけではありませんが、これがiWebUpdateの起源に関する回答である可能性はあります。

VirusTotalは、Genieo系の特定のマルウェアサンプルがiWebUpdateマルウェアの“execution parent”(VirusTotalがファイルの関係性を表す際に親ファイルの関係にあるとするファイル)であるとしています( https://www.virustotal.com/gui/file/4eaa4caea4ac543516ffc9954a901e8b8e8c623fcce48304ea74d7a74218683b/detection )。


■iWebUpdateマルウェアについて知っておくべきこと

このマルウェアが、ARMベースのAppleシリコンプロセッサが発表された2018年より前に開発されたとすると( https://support.apple.com/en-us/HT211861 )、マルウェアのコードはIntelプロセッサで実行するように設計されているはずです。ただし、今も多くのMacがRosetta 2 Intelエミュレーション機能をインストールしているわけで、M1あるいはM2チップを搭載した多くのMacでもエミュレーションを利用して正常に動作する可能性が高いです。

今日の多くのMacを狙うマルウェアと異なり、iWebUpdateはAppleが発行した開発者証明で著名されていません。このマルウェアはAppleのソフトウェア公証プロセスが導入された2019年以前に開発されていますから、公証もされていません( https://developer.apple.com/documentation/security/notarizing_macos_software_before_distribution )。公証はMacを狙うマルウェアを減らすための対策の一つですが、Appleによって公証されたMacを狙うマルウェアも多くあることを考えると、それほど強力な対策とは言えません( https://www.intego.com/mac-security-blog/topic/notarization/ )。

前述の通り、iWebUpdateは感染したMacの機種を特定しようとします。ところが、iWebUpdateがMacの機種を特定するために使うシェルコードにはバグがあります。場合によっては、このコードが感染したMacを正しく特定することもありますが、そのMacのセットアップ時に別のMacからデータが移行されている場合は正しく判定できません。そのような場合、iWebUpdateは感染したMacをオリジナルのMacだと間違って特定します。マルウェアは、次のコードを使っています:

echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names') | cut -d'"' -f4

しかし、感染したMacを正しく特定するコードは、次のようなものでしょう:

echo $(defaults read ~/Library/Preferences/com.apple.SystemProfiler.plist 'CPU Names' | cut -sd '"' -f 4 | tail -n 1)

iWebが2006年から2011年までiLifeの一部としてAppleから提供されていたウェブページを開発するソフトウェアの名前であることも、興味深い点でしょう。iWebUpdateマルウェアのファイル名とドメインには、Appleの公式ソフトウェアに偽装する意図があった可能性が考えられます。


■iWebUpdateや他のMacを狙うマルウェアの除去

Integoのセキュリティバンドル製品に含まれているIntego VirusBarrier X9は、Macを狙うマルウェアを検出および除去してMacを守ります( https://www.act2.com/intego )。Integoのソフトウェアは、iWebUpdateの構成要素を「OSX/iWebUpdate」、「OSX/iWebUpdate.ext」、そして「OSX/Dldr.Agent.zbqnj」として検出します。

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

注意: 古いバージョンのMac OS X上でVirusBarrier X8、X7、あるいはX6をお使いのお客様も、この脅威から保護されています。とは言え、お使いのMacにAppleが提供する最新のセキュリティアップデートを適用するためにも、可能であればmacOSを最新の状態にアップグレードし、VirusBarrierも最新バージョンに無償アップグレードすることをお勧めします。


■iWebUpdateのセキュリティ侵害インジケータ(IoCs)

次の3つのファイルパスが、iWebUpdateマルウェアと関係しています:

~/Library/Services/iWebUpdate

~/Library/LaunchAgents/iwebupdate.plist

/tmp/iwup.tmp

上のティルダ(~)記号は、例えば /Users/admin のように特定のユーザのホームフォルダを意味します。

メインとなるサンプル、iWebUpdateは 3e66e664b05b695b0b018d3539412e6643d036c6d1000e03b399986252bddbfb のSHA-256ハッシュを持ち、研究者はVirusTotalからダウンロードできます。

コマンド&コントロールのドメインの1つは、このマルウェアと2018年頃から関係していることがわかっています。

iwebservicescloud[.]com

このドメインは、2018年8月に初めて登録されましたが、元の所有者以降の登録は一度失効しているようです。その後、直近では2021年に登録されていますので、現在の所有者が元々のドメインの所有者と同じ団体であるとは限りません。しかし、ネットワーク管理者はネットワーク内のコンピュータがこのドメインに接続しようとしていたら感染の可能性があるので、最近のログを調べるべきでしょう。


■iWebUpdateの別名

この脅威の構成ファイルに対する他のソフトウェアメーカによる名称には、次のようなものが含まれている可能性があります:

Backdoor ( 0040f3561 )、HEUR:Trojan-Downloader.OSX.Agent.gen、MacOS:Downloader-AX [Drp]、Malware.OSX/Dldr.Agent.zbqnj、OSX.Trojan.Gen、OSX/Agent.X!tr.dldr、OSX/TrojanDownloader.Agent.X、Trojan:MacOS/Multiverze、Trojan.Downloader.OSX.Agent、Trojan.MAC.Generic.111537 (B)、Trojan.MAC.Generic.D1B3B1、そしてTrojan.OSX.Agent.4!c


■お使いのMacは安全ですか?

Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://www.act2.com/intego


桜の開花も始まり、また、コロナも沈静化に向かい、気持ちの良い季節になりました。

(しかし、私は花粉症に悩まされています...)

皆様のご健康を、心からお祈りしております。

いつもありがとうございます。


株式会社アクト・ツー

Software Product Team