Macのメッセージングアプリユーザーを狙うバックドア登場、意図が不明
マイナビニュース / 2024年8月30日 7時29分
Kaspersky Labは8月27日(現地時間)、「HZ Rat backdoor for macOS harvests data from WeChat and DingTalk|Securelist」において、エンタープライズメッセンジャー「DingTalk」およびメッセージングプラットフォーム「WeChat」のユーザーを標的とするバックドア「HZ Rat」のmacOS版を発見したと伝えた。
HZ Ratは2022年11月にドイツのセキュリティ企業「DCSO」によりWindowsを標的とするサンプルが確認されている(参考:「HZ RAT goes China. Walking down the Royal Road as we did… | by DCSO CyTec Blog | Medium」)。今回はほぼ同じ機能を持つmacOSのサンプルが初めて確認された。
○バックドア「HZ Rat」の正体
Kaspersky Labは今回に発見したサンプルの侵害経路を不明としている。しかしながら、インストールパッケージ「OpenVPNConnect.pkg」の入手に成功したとして分析結果を公開した。この悪意のあるパッケージは2023年7月にVirusTotalにアップロードされているが、分析時点において主要なセキュリティソリューションから検出されないことがわかっている。
パッケージを開くと内部に含まれる「exe」というファイル名のシェルスクリプトが実行され、そこからバックドア本体とOpenVPNアプリが実行される。バックドアはコマンド&コントロール(C2: Command and Control)サーバとの接続を確立すると、単純な暗号化通信を使用して次の情報を窃取するとされる。
システム整合性保護(SIP: System Integrity Protection)ステータス
システムおよびデバイス情報
アプリケーションの一覧
DingTalkのユーザーおよび組織情報(勤務先情報、ユーザー名、メールアドレス、電話番号)
WeChatのユーザー情報(WeChatID、メールアドレス、電話番号)
Google Chromeのパスワードマネージャー
○バックドアとしての目的
発見されたコマンド&コントロールサーバの大部分は中国のIPアドレスとされる。また、悪意のあるパッケージが中国のゲーム開発会社「MiHoYo」のドメインから過去に配布されていたことも確認されている。MiHoYoが故意に配布したのか、侵害されたのかはわかっていない。
このバックドアにはファイルのアップロード、ダウンロード機能がある。しかしながら、これら機能の使用は分析中に確認されていない。Kaspersky Labはこれらの事実を総合的に評価した結果、攻撃者の意図がわからないと結論づけている。
攻撃者の目的や侵害経路が不明のため、対策の検討は難しい。だが、攻撃に使用されたパッケージがOpenVPNに偽装していることから、アプリを公式ストアまたは正規サイトからのみダウンロードすることで回避できるものとみられる。Kaspersky Labは調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Macユーザー狙う新しいマルウェア発見、開発者はすでに永久追放
マイナビニュース / 2024年8月27日 9時47分
-
Kaspersky、機密情報や暗号通貨を窃取する詐欺攻撃キャンペーン「Tusk」を発見
PR TIMES / 2024年8月22日 16時15分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
-
Androidスパイウェア「LianSpy」発見、感染経路・攻撃者・目的すべて不明
マイナビニュース / 2024年8月7日 7時31分
-
Kaspersky、スパイウェア「Mandrake」の新たな攻撃活動が2年間検知されず、Google Playから32,000回以上ダウンロードされていたことを発見
PR TIMES / 2024年8月2日 17時40分
ランキング
-
11円~1万円以下で買えるオススメAndroidスマートフォン【2024年8月版】 MNPで最新機種をお得に入手しよう
ITmedia Mobile / 2024年8月30日 6時5分
-
2Macのメッセージングアプリユーザーを狙うバックドア登場、意図が不明
マイナビニュース / 2024年8月30日 7時29分
-
3HD-2D版『ドラクエ3』新要素・キャラメイクに「最高です!」 往年のファン「買いたくなってきた」の声
マグミクス / 2024年8月28日 21時25分
-
4「このネズミじゃまー! 笑」 彼氏から“苦情”が入った光景とは……? ポケモン好き彼女の洗面所に10万いいね「確かにw」「ほほ笑ましい」
ねとらぼ / 2024年8月30日 7時45分
-
5「これは」 0歳から100歳まで“101匹の猫”が続々登場! 信じられないプロジェクトが衝撃 「こんなにたくさん」
ねとらぼ / 2024年8月30日 11時45分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください