Lazarusの高度持続的脅威(APT)グループによる新たな手法が、カスタムの拡張属性を利用して悪意あるコードをmacOSシステムへ密かに持ち込むために、脅威アクターによって使用されました。
Group-IBが観測したこの革新的な方法は、従来のセキュリティ対策を回避し、悪意あるコードを隠蔽したまま検知されない状態に保つことを可能にします。
追加のファイルメタデータを保存するためにしばしば用いられる拡張属性が、標的システム上でマルウェアを隠し、実行する目的でLazarusに悪用されています。
マルウェア隠蔽の進化
同グループの最近のマルウェアサンプルは、2020年にBundloreアドウェアがリソースフォークにペイロードを隠していた過去の手法と同様に、検知回避のために拡張属性を試していることを示唆しています。しかし、Lazarusの新たなアプローチは、現代のmacOSシステムでより汎用性の高い拡張属性を活用しています。
発見されたLazarus開発のマルウェアの中には、「RustyAttr」があり、Tauriフレームワークを用いて作成されたトロイの木馬です。Tauriは、WebフロントエンドとRustバックエンドを組み合わせたアプリケーションを構築でき、macOS上でステルス的に動作する可能性があります。
悪意あるコードを拡張属性内に隠し、Tauriの組み込みインターフェースコマンドを使ってそれを実行することで、Lazarusは多くのアンチウイルス保護を回避します。特筆すべき点として、このマルウェアはVirusTotal上で完全に未検知のままです。
macOSマルウェアについて詳しく読む:Cthulhu Stealerマルウェア、欺瞞的手口でmacOSを標的に
欺瞞的手口とユーザーの注意逸らし
研究ではまた、Lazarusのマルウェアに、プロジェクト開発や暗号資産に関連するPDF、偽のシステムメッセージなど、さまざまなおとり要素が含まれていることが判明しました。
これらのおとりは、マルウェアがバックグラウンドで実行される間にユーザーを欺くことを意図しており、2024年以降Lazarusに関連付けられているコマンド&コントロール(C2)サーバーから追加の悪意あるスクリプトを取得します。一部のファイルは、2023年の RustBucketマルウェアのような、過去のLazarusキャンペーンにも言及していました。
Group-IBの分析による主な所見は次のとおりです:
-
MITRE ATT&CKフレームワークではまだカタログ化されていない手法である、拡張属性を用いたコード密輸
-
Tauriフレームワークで構築されたmacOS向けトロイの木馬「RustyAttr」の発見
-
悪意あるスクリプトが実行される間、ユーザーの注意を逸らすための偽のおとりやダイアログの使用
-
直接的な被害者が特定されていないため、この活動をLazarusに帰属させる確度は中程度
現時点では、AppleのGatekeeperが、署名されていない、または公証されていないアプリケーションの実行を防止しています。しかし、被害者がこれらの保護を上書きした場合、意図せずLazarusのマルウェアの展開を許してしまう可能性があります。
サイバーセキュリティの専門家は、見慣れない提供元からファイルのダウンロードを促された際には注意を怠らず、Gatekeeperの保護を有効に保つようユーザーに呼びかけました。これらを無効化すると、macOSシステムがこの種の攻撃に対して脆弱になる可能性があるためです。
画像クレジット:DenPhotos / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/lazarus-extended-attributes-macos/
