Kaspersky、APTグループ「WildPressure」の攻撃活動を調査中に、macOSにも感染するマルチプラットフォームマルウェアを確認
PR TIMES / 2021年7月13日 16時15分
[本リリースは、2021年7月7日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT(高度サイバー攻撃)グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査しています。
https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/
この攻撃グループが産業分野を対象にしたとみられる直近のある攻撃を分析したところ、異なるプログラミング言語で書かれた新しいバージョンの「Milum」を複数発見しました。そのうちの一つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明しました。マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。なお、WildPressureマルウェアのリバースエンジニアリング方法は、ビデオ(英語)「Reversing in action: New WildPressure targets macOS」でご覧いただけます。
https://www.youtube.com/watch?v=1v79QRhi1HM
---------------
脅威を検出する時は、一つの小さな手掛かりから多くの発見に至ることがありますが、今回も例外ではありません。多くの攻撃では、攻撃対象のデバイスをトロイの木馬に感染させた後、攻撃者のサーバーに対して感染デバイスの情報、ネットワーク設定、ユーザー名などが含まれるビーコンを送信します。攻撃者はその情報を基に、感染したデバイスに何らかの価値があるかどうかを判断します。しかし、Milumの場合は、その開発時のプログラミング言語に関する情報も送信されていました。
当社のリサーチャーが2020年に初めて当攻撃を調査した際、このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察していましたが、このたび、この仮説が裏付けられました。
2021年春、当社はWildPressureによる新たな攻撃を観測しました。この攻撃では、Milumマルウェアの新たなバージョンのセットが使用されており、発見したファイルにはプログラミング言語C++で書かれたMilumトロイの木馬と、そのVisual Basic Script(VBScript)版の亜種が含まれていました。さらにこの攻撃を調査した結果、Pythonで書かれた別マルウェアが見つかり、WindowsとmacOS両方のオペレーティングシステムを標的として開発されていることが分かりました。
これらの三つのバージョンのトロイの木馬は、攻撃者からの指令コマンドをダウンロードして感染デバイスで実行し、デバイスの情報を収集し、自らを新しいバージョンにアップグレードするようになっていました。
マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれていました。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていました。このマルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を行います。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていました。
Kaspersky グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)は、次のように述べています。「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムを持っています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」
・WildPressureの詳細やIOC(侵害の痕跡)は、Securelistブログ(英語)「WildPressure targets the macOS platform」でご覧いただけます。
https://securelist.com/wildpressure-targets-macos/103072/
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/254/resize/d11471-254-648c1517ef09ff4f06b6-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Kaspersky、インターポールにサイバーセキュリティトレーニングプログラムを5年連続で提供
PR TIMES / 2024年5月9日 13時0分
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告
PR TIMES / 2024年4月26日 18時40分
-
Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害
マイナビニュース / 2024年4月22日 7時48分
-
Jamf、Apple製品を中心とするサイバー脅威トレンドを分析した年次レポート「セキュリティ360」日本語版を発表
PR TIMES / 2024年4月16日 14時45分
ランキング
-
1「肉も野菜も安い!」ドラッグストア絶好調の理由 物価高で高まる存在感、買収で生鮮食品も導入
東洋経済オンライン / 2024年5月9日 8時0分
-
2物価の優等生『もやし』生産者はようやく少しずつ値上げ…しかし消費減で悲鳴「このままでは生産者がみんな廃業してしまう」
MBSニュース / 2024年5月8日 19時18分
-
3米検察当局がテスラを調査 報道、詐欺行為の疑いで
共同通信 / 2024年5月9日 6時5分
-
4損保大手、火災保険料引き上げ=10月に10%、災害激甚化で
時事通信 / 2024年5月8日 17時54分
-
5「子供に宿題出さないで」底辺校の親の"無理難題" 東海地方で30年働く先生が語った事(第2回)
東洋経済オンライン / 2024年5月9日 8時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください