日本の暗号資産取引所がmacOSバックドア「JokerSpy」の標的に
Elastic Security Labsによれば、偵察とコマンド・アンド・コントロールを目的にmacOSバックドア「JokerSpy」や列挙ツール「Swiftbelt」を展開する攻撃群「REF9134」において、日本を拠点とする暗号資産(仮想通貨)取引所(仮に「A社」)が標的になっていたという。この被害組織の名称は明かされていないが、大規模で有名な取引所だとされている。
JokerSpyとは?
JokerSpyは、先週Bitdefenderによって初めて報告された新しいバックドア。同社は、自己署名されたマルチアーキテクチャバイナリ「xcc」と、Pythonで書かかれたバックドア「sh.py」を合わせて「JokerSpy」と名付けた。
xcc
xccはSwiftで書かれたバイナリで、現在のシステムパーミッションを評価するために使われる。バージョン12以降のmacOSに対応している。
sh.py
sh.pyは、Swiftbeltをはじめとするポストエクスプロイトツールを展開・実行するために使われるPythonバックドア。ホスト名、ユーザー名、ドメイン名などのシステム情報を収集・転送することも可能とされる。
日本の暗号資産取引所への攻撃
Elasticによると、2023年5月下旬、その時点で既にA社へのアクセス権を有していた脅威アクターによってxccが実行されたという。脅威アクターはxccの実行後、独自のTCCデータベースを作成して既存のものと置き換えることによってTCCのパーミッションのバイパスを試みていた。そして6月1日には、xccと同じディレクトリから新たなPythonベースのツールが実行されるのが確認され、同ツールを利用してオープンソースのmacOS向けポストエクスプロイト列挙ツール「Swiftbelt」が実行されていたという。
初期アクセスベクター
xccは、以下3つの個別のプロセスによって、bash経由で実行されるという。
・/Applications/IntelliJ IDEA.app/Contents/MacOS/idea
・/Applications/iTerm.app/Contents/MacOS/iTerm2
・/Applications/Visual Studio Code.app/Contents/MacOS/Electron.
これを踏まえてElasticは、まだ調査段階であるとはしつつも、おそらく悪意あるプラグインやバックドアが仕込まれたプラグイン、またはサードパーティの依存関係が初期アクセス獲得のために利用されているのだろうとの考えを示している。
さらなる詳細については続報を待つべし?
Elasticのブログ記事では、攻撃者の詳細や被害企業名などは明かされておらず、不明確な点が多い。しかし同社は「この攻撃についてのより深い考察が後日発表される可能性がある」と記していることから、今後さらなる情報が明らかになるかもしれないと言える。REF9134やJokerSpyの動向には今後も注目したい。
(情報源:Elastic Security Labs ”Initial research exposing JOKERSPY”、The Hacker News “Japanese Cryptocurrency Exchange Falls Victim to JokerSpy macOS Backdoor Attack”、Bitdefender ”Fragments of Cross-Platform Backdoor Hint at Larger Mac OS Attack”)
6月27日:その他の注目ニュース
新たなJavaScriptドロッパー「PindOS」がマルウェアBumblebeeやIcedIDを展開
Bleeping Computer – Jun 26 2023 16:39
BumblebeeやIcedIDといったマルウェアの配布に用いられる新たなツール「PindOS」を研究者が発見。PindOSはJavaScriptのマルウェアドロッパーで、最終的なペイロードの1段階前のペイロードを呼び出すために特別に構築されているものとみられる。同ドロッパーは4つのパラメータが付属している1つの関数しか有しておらず、「驚くほどシンプル」な作りになっているが、アンチウイルスエンジンによる検出率は非常に低く、5月20日にはPindOSに有害のフラグを立てたVirus Total上のアンチウイルスは5つしかなかったという。このように密かにペイロードをドロップする能力が示されていることから、同マルウェアは、BumblebeeやIcedIDのオペレーター以外の脅威アクターの間でも人気になる恐れがあるとされる。
中国関連APTグループVANGUARD PANDA、最近の攻撃で新たな技術を使用
Security Affairs – Jun 26 2023 12:55
中国関連のAPTグループ「VANGUARD PANDA」(別名「Volt Typhoon」)が、標的ネットワークへの初期アクセス獲得のために新たな手法を使用しているのが観測されたという。Volt Typhoonグループは少なくとも2021年半ばから活動しており、先月には米国の重要インフラを標的にスパイ活動を行っていたことが報告されていた。また検出を回避するためにもっぱらliving-off-the-land(環境寄生型)技術とハンズオンキーボード活動のみを利用することが知られている。今回Crowdstrikeによって報告された新たな手法は、ManageEngine Self-service Plusのエクスプロイトを利用して初期アクセスを獲得した後、カスタムWebシェルを利用して持続性を確保し、living-off-the-land技術を用いてラテラルムーブメントを行うというものなのだという。