巧妙化するMacマルウェア

UpdateAgentと呼ばれるMacの「トロイの木馬」の最新バージョンは、一部のアクターがAppleテクノロジーを標的にすることに注力していることを示唆している。

巧妙化するMacマルウェア
Photo by Ali Mahmoudi on Unsplash

UpdateAgent、別名WizardUpdateと呼ばれるMacトロイの木馬の最新バージョンは、一部の脅威アクターがAppleテクノロジーを標的にすることに注力していることを示唆している

サポートエージェントやビデオソフトウェアなどの正規のソフトウェアになりすますこのマルウェアは、2020年9月に最初に表面化した。通常、ドライブバイダウンロードまたは広告のポップアップや、廃止されたAdobe FlashPlayerなどのツールの偽の更新を介して配布される。UpdateAgentの作成者は、最初に登場して以来、重要な新機能で絶えず更新してきた。 10月の最新の更新も例外ではなかった。

Updateagentは、Mac OS Xにダウンロードされた正規のソフトウェアに見せかけ、いくつかのMacOSの制御をバイパスしてデバイス全体に存在する。例えば、信頼できるアプリケーションのみがコンピュータのハードウェア上で実行できるように設計されたゲートキーパー機構をバイパスして、トロイの木馬が既存のユーザー権限を悪用して悪質な活動を行い、その痕跡を消す。

2月初め、マイクロソフトは、UpdateagentがAWSのCloudfrontとS3からマルウェアをダウンロードできたと報告した。そこで同社はアマゾンと提携し、問題を引き起こしているいくつかの既知のURLを削除している。

マイクロソフトの研究者は、最新のバリアントを分析し、S3やCloudFrontなどの信頼できるパブリッククラウドインフラストラクチャでホストされるセカンダリペイロードをインストールするための拡張機能が含まれていることを発見した。以前のように.zipファイルまたはマウント可能なディスクイメージ(DMGファイル)を使用して追加のペイロードをフェッチする代わりに、新しいバージョンのUpdateAgentは両方のファイルタイプを使用できるようになった。

10月のバージョンでは、UpdateAgentのセカンダリペイロードにAdloadも含まれるようになった。これは、Macに不要な可能性のあるアプリや広告ローダーをインストールするための非常に永続的なトロイの木馬だ。

マイクロソフトの分析によると、最新のアップグレードでは、マルウェアはユーザーの既存のプロファイルを利用して、通常はより高いセキュリティと管理者権限を必要とするコマンドを実行できる。さらに、UpdateAgentは、検出を回避しながら、侵害されたシステムでの永続性を維持する機能を微調整した。

Adloadアドウェアがインストールされると、広告インジェクションソフトウェアと技術を使用して、デバイスのオンライン通信を傍受し、アドウェア運営者のサーバーを介してユーザーのトラフィックをリダイレクトし、ウェブページや検索結果に広告やプロモーションを注入するのだ。具体的には、Webプロキシをインストールすることでパーソンインザ・ミドル(PITM)攻撃を行い、検索エンジンの検索結果を乗っ取り、Webページに広告を挿入することで、公式サイトの所有者からアドウェア運営者に広告収入を吸い上げるというものだ。

また、Adloadは、アドウェアの中でも異常に持続性の高い変異種だ。このアドウェアは、他のアドウェアやペイロードをダウンロードおよびインストールするためのバックドアを開くことができるほか、攻撃者のC2サーバに送信されるシステム情報を収集することができる。UpdateAgentとAdloadの両方が追加のペイロードをインストールする機能を持っていることを考えると、攻撃者は、これらのベクトルのいずれか、または両方を活用して、将来のキャンペーンでターゲットシステムにさらに危険な脅威を送り込む可能性がある。

UpdateAgentは、アドウェアをインストールする前に、Gatekeeperと呼ばれるmacOSのセキュリティ機構がダウンロードしたファイルに付加するフラグを削除するようになった(Gatekeeperは、新しいソフトウェアがインターネットから来たことをユーザーに警告し、そのソフトウェアが既知のマルウェア系統と一致しないことを確認する)。この悪意のある機能は目新しいものではないが(2017年のMacマルウェアも同じことをした)、UpdateAgentに組み込まれたことは、このマルウェアが定期的に開発されていることを表している。

UpdateAgentの偵察は、システムプロファイルとSPHardwaretypeデータの収集に拡張され、特にMacのシリアル番号を明らかにする。また、このマルウェアは、以前のようにLaunchAgentフォルダではなく、LaunchDaemonフォルダを変更するようになった。この変更により、UpdateAgentは管理者として実行する必要があるが、トロイの木馬はルートとして実行する永続的なコードを注入できるようになった。

以下のタイムラインは、その進化を表している。

図1. このタイムラインは進化を示している。出典:マイクロソフト
図1. このタイムラインは進化を示している。出典:マイクロソフト

マルウェアはインストールされると、システム情報を収集し、攻撃者のコントロールサーバに送信するなど、さまざまなアクションを起こす。最新のエクスプロイトの攻撃チェーンは次のようになる。

図2. UpdateAgentの最新キャンペーンによる攻撃連鎖を示す図。2021年10月の作戦では、UpdateAgentは、これまで観測されたものよりも大規模で洗練された手法を含んでいた。攻撃者は、トロイの木馬化したアプリを.zipまたは.pkg形式で配布し、2021年初頭に観測されたキャンペーンに準拠した。出典:マイクロソフト
図2. UpdateAgentの最新キャンペーンによる攻撃連鎖を示す図。2021年10月の作戦では、UpdateAgentは、これまで観測されたものよりも大規模で洗練された手法を含んでいた。攻撃者は、トロイの木馬化したアプリを.zipまたは.pkg形式で配布し、2021年初頭に観測されたキャンペーンに準拠した。出典:マイクロソフト

マイクロソフトによると、UpdateAgentは、動画アプリやサポートエージェントなどの正規のソフトウェアを装っており、ハッキングされたサイトや悪意のあるサイトのポップアップや広告を通じて拡散されるとのことだ。

UpdateAgentの進化は、多くの点でmacOSマルウェア全体の縮図と言える。マルウェアは、より高度に進化し続けている。Macユーザは、感染やパッチ未適用のソフトウェアを警告するブラウザウィンドウに表示される迷惑なポップアップなど、ソーシャルエンジニアリングの誘惑を見分ける方法を学ぶ必要がある。

毎月70本のハイエンド記事が読み放題の有料購読が初月無料

アクシオンではクイックな情報は無料で公開していますが、より重要で死活的な情報は有料会員にのみ提供しております。有料会員は弊社オリジナルコンテンツに加え、ブルームバーグ、サイエンティフィック・アメリカン、ニューヨーク・タイムズから厳選された記事、月70本以上にアクセスができるようになります。現在、初月無料キャンペーン中。下の画像をクリックしてください。

Read more

新たなスエズ危機に直面する米海軍[英エコノミスト]

新たなスエズ危機に直面する米海軍[英エコノミスト]

世界が繁栄するためには、船が港に到着しなければならない。マラッカ海峡やパナマ運河のような狭い航路を通過するとき、船舶は最も脆弱になる。そのため、スエズ運河への唯一の南側航路である紅海で最近急増している船舶への攻撃は、世界貿易にとって重大な脅威となっている。イランに支援されたイエメンの過激派フーシ派は、表向きはパレスチナ人を支援するために、35カ国以上につながる船舶に向けて100機以上の無人機やミサイルを発射した。彼らのキャンペーンは、黒海から南シナ海まですでに危険にさらされている航行の自由の原則に対する冒涜である。アメリカとその同盟国は、中東での紛争をエスカレートさせることなく、この問題にしっかりと対処しなければならない。 世界のコンテナ輸送量の20%、海上貿易の10%、海上ガスと石油の8~10%が紅海とスエズルートを通過している。数週間の騒乱の後、世界の5大コンテナ船会社のうち4社が紅海とスエズ航路の航海を停止し、BPは石油の出荷を一時停止した。十分な供給があるため、エネルギー価格への影響は軽微である。しかし、コンテナ会社の株価は、投資家が輸送能力の縮小を予想している

By エコノミスト(英国)
新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

新型ジェットエンジンが超音速飛行を復活させる可能性[英エコノミスト]

1960年代以来、世界中のエンジニアが回転デトネーションエンジン(RDE)と呼ばれる新しいタイプのジェット機を研究してきたが、実験段階を超えることはなかった。世界最大のジェットエンジン製造会社のひとつであるジー・エアロスペースは最近、実用版を開発中であると発表した。今年初め、米国の国防高等研究計画局は、同じく大手航空宇宙グループであるRTX傘下のレイセオンに対し、ガンビットと呼ばれるRDEを開発するために2900万ドルの契約を結んだ。 両エンジンはミサイルの推進に使用され、ロケットや既存のジェットエンジンなど、現在の推進システムの航続距離や速度の限界を克服する。しかし、もし両社が実用化に成功すれば、超音速飛行を復活させる可能性も含め、RDEは航空分野でより幅広い役割を果たすことになるかもしれない。 中央フロリダ大学の先端航空宇宙エンジンの専門家であるカリーム・アーメッドは、RDEとは「火を制御された爆発に置き換える」ものだと説明する。専門用語で言えば、ジェットエンジンは酸素と燃料の燃焼に依存しており、これは科学者が消炎と呼ぶ亜音速の反応だからだ。それに比べてデトネーシ

By エコノミスト(英国)
ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

ビッグテックと地政学がインターネットを作り変える[英エコノミスト]

今月初め、イギリス、エストニア、フィンランドの海軍がバルト海で合同演習を行った際、その目的は戦闘技術を磨くことではなかった。その代わり、海底のガスやデータのパイプラインを妨害行為から守るための訓練が行われた。今回の訓練は、10月に同海域の海底ケーブルが破損した事件を受けたものだ。フィンランド大統領のサウリ・ニーニストは、このいたずらの原因とされた中国船が海底にいかりを引きずった事故について、「意図的なのか、それとも極めて稚拙な技術の結果なのか」と疑問を呈した。 海底ケーブルはかつて、インターネットの退屈な配管と見なされていた。現在、アマゾン、グーグル、メタ、マイクロソフトといったデータ経済の巨人たちは、中国と米国の緊張が世界のデジタルインフラを分断する危険性をはらんでいるにもかかわらず、データの流れをよりコントロールすることを主張している。その結果、海底ケーブルは貴重な経済的・戦略的資産へと変貌を遂げようとしている。 海底データパイプは、大陸間インターネットトラフィックのほぼ99%を運んでいる。調査会社TeleGeographyによると、現在550本の海底ケーブルが活動

By エコノミスト(英国)