Kaspersky、APTグループ「WildPressure」の攻撃活動を調査中に、macOSにも感染するマルチプラットフォームマルウェアを確認
PR TIMES / 2021年7月13日 16時15分
[本リリースは、2021年7月7日にKasperskyが発表したプレスリリースに基づき作成したものです]
---【概要】---
Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT(高度サイバー攻撃)グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査しています。
https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/
この攻撃グループが産業分野を対象にしたとみられる直近のある攻撃を分析したところ、異なるプログラミング言語で書かれた新しいバージョンの「Milum」を複数発見しました。そのうちの一つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明しました。マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。なお、WildPressureマルウェアのリバースエンジニアリング方法は、ビデオ(英語)「Reversing in action: New WildPressure targets macOS」でご覧いただけます。
https://www.youtube.com/watch?v=1v79QRhi1HM
---------------
脅威を検出する時は、一つの小さな手掛かりから多くの発見に至ることがありますが、今回も例外ではありません。多くの攻撃では、攻撃対象のデバイスをトロイの木馬に感染させた後、攻撃者のサーバーに対して感染デバイスの情報、ネットワーク設定、ユーザー名などが含まれるビーコンを送信します。攻撃者はその情報を基に、感染したデバイスに何らかの価値があるかどうかを判断します。しかし、Milumの場合は、その開発時のプログラミング言語に関する情報も送信されていました。
当社のリサーチャーが2020年に初めて当攻撃を調査した際、このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察していましたが、このたび、この仮説が裏付けられました。
2021年春、当社はWildPressureによる新たな攻撃を観測しました。この攻撃では、Milumマルウェアの新たなバージョンのセットが使用されており、発見したファイルにはプログラミング言語C++で書かれたMilumトロイの木馬と、そのVisual Basic Script(VBScript)版の亜種が含まれていました。さらにこの攻撃を調査した結果、Pythonで書かれた別マルウェアが見つかり、WindowsとmacOS両方のオペレーティングシステムを標的として開発されていることが分かりました。
これらの三つのバージョンのトロイの木馬は、攻撃者からの指令コマンドをダウンロードして感染デバイスで実行し、デバイスの情報を収集し、自らを新しいバージョンにアップグレードするようになっていました。
マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれていました。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていました。このマルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を行います。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていました。
Kaspersky グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)は、次のように述べています。「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムを持っています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」
・WildPressureの詳細やIOC(侵害の痕跡)は、Securelistブログ(英語)「WildPressure targets the macOS platform」でご覧いただけます。
https://securelist.com/wildpressure-targets-macos/103072/
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
[画像: https://prtimes.jp/i/11471/254/resize/d11471-254-648c1517ef09ff4f06b6-0.jpg ]
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
APT攻撃グループ「Tropic Trooper」が、新たなサイバースパイ活動を中東で展開
PR TIMES / 2024年9月18日 16時45分
-
Kaspersky、台頭するランサムウェア「Mallox」を調査:独自運用から「サービスとしてのランサムウェア」へ変化
PR TIMES / 2024年9月11日 15時40分
-
<Kasperskyサイバー脅威レポート: 2024年第2四半期は、脆弱性を持つドライバーを使用しWindowsを狙う攻撃が23%増加したことを確認>
PR TIMES / 2024年8月30日 16時40分
-
Macのメッセージングアプリユーザーを狙うバックドア登場、意図が不明
マイナビニュース / 2024年8月30日 7時29分
-
マルウェアに感染させる新しい手口、ルート証明書の更新を促す警告に注意
マイナビニュース / 2024年8月25日 13時31分
ランキング
-
1『地面師たち』積水ハウスの“秘密文書”に見る巨額詐欺事件の真相「ずさんな手書き稟議書」「急展開した取引」の背景に派閥争い
NEWSポストセブン / 2024年9月23日 11時13分
-
210月に「チョコレート」などまた値上げ…一方で「サンマ」「ブリ」など秋の味覚はお買い得!?
MBSニュース / 2024年9月23日 18時0分
-
3経済同友会の新浪氏、立憲・野田新代表に早速注文
日テレNEWS NNN / 2024年9月23日 16時22分
-
4都営バス「一日だけの激レア系統」運行へ 高頻度で来る「祭100」の行先は?
乗りものニュース / 2024年9月23日 17時12分
-
5「効率化で"不要になった社員"」活用する術ある?
東洋経済オンライン / 2024年9月23日 13時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください