黒い背景に雪の上に乗った星型の雪の結晶出典: CH123 via Shutterstock
3年前にウクライナの当局者を標的とした攻撃で登場し、その後姿を消していたmacOSプラットフォーム向けのモジュール型バックドアマルウェアが、新バージョンとなって再び現れました。
「ChillyHell」と呼ばれるこの回避型マルウェアは、攻撃者にリモートアクセスを与え、ペイロードの投下やパスワードのブルートフォースなど、さまざまな機能を持っています。Jamf Threat Labsの研究者は、5月2日にVirusTotalへアップロードされた新たなChillyHellのサンプルを発見しました。このサンプルは2021年にAppleによって公証されていたものであることが、水曜日に公開されたレポートで明らかになりました。
このサンプルは、前年にウクライナ攻撃で使用されたと2023年にMandiantが報告したマルウェアの以前のバージョンと一致しています。さらに、この新しいサンプルは2021年からDropbox上で公開されていました。
このマルウェアは、applet.appとしてパッケージ化された実行可能アプレットに偽装していますが、実際にはシステムから機密データを取得し、検出を回避する能力を持つ本格的かつ永続的なバックドアとして動作すると、研究者は述べています。
「複数の永続化メカニズム、異なるプロトコルでの通信能力、モジュール構造を持つChillyHellは、非常に柔軟です」とJamfの研究者Ferdous Saljooki氏とMaggie Zirnhelt氏は投稿で述べています。「タイムスタンプ付与やパスワードクラックといった機能は、現在のmacOS脅威環境では珍しいサンプルです。」
JamfがDropbox上およびVirusTotalのサンプルでの存在をAppleに通知した後、Appleはマルウェアに関連する開発者証明書の公証を取り消したと、研究者らは付け加えています。
3つの永続化手法
ChillyHellが実行されると、ホストのプロファイリングを行い、永続化の確立を試みます。成功すると、コマンド&コントロール(C2)インフラへの接続も確立します。このマルウェアは、権限レベルやインストール状態に応じて3つの異なる永続化メカニズムを持ち、この分野で特に強力です。
通常ユーザーとして実行される場合の1つの方法は、StartupInstall::Install()メソッドを使用してLaunchAgentとして自身をインストールすることだと、研究者は述べています。マルウェアは~/Library/LaunchAgents/com.apple.qtop.plistにplistを書き込み、メインバイナリを~/Library/com.apple.qtop/qtopに配置します。plistはログイン時の実行を保証します。
もう1つの永続化メカニズムは、昇格した権限で実行し、StartupInstall::ReplaceInstallWithElevatedRights()を介してシステムLaunchDaemonとして自身をインストールすることです。成功すると、/Library/LaunchDaemons/com.apple.qtop.plistにplistを書き込み、メインバイナリのコピーを/usr/local/bin/qtopに配置します。「これにより、システム権限での起動時実行が保証されます」と研究者は記しています。
3つ目のフォールバック永続化メカニズムは、ユーザーのシェルプロファイルを修正し、ユーザーのシェルやホームディレクトリに基づいて適切なシェル設定を決定することです。永続化ロジックはStartupInstall::InstallToShell()によって処理され、StartupInstall::InsertLineToShellRCIfNotExist()を呼び出して設定ファイルに起動コマンドを挿入します(その行がまだ存在しない場合のみ)。この永続化スタイルにより、マルウェアは新しいターミナルセッションごとに実行されることが研究者によって確認されています。
その他の悪意ある機能
ChillyHellが永続化を確立し、C2との通信を開始すると、攻撃者が制御するC2からさまざまな悪意あるタスクやコマンドが送られます。これには、データの流出、追加ペイロードの投下、ユーザーアカウントの列挙などが含まれます。
このマルウェアの特にユニークな機能の1つは、感染したマシン上のユーザーアカウントに対してローカルでパスワードクラックを実行できる点だと、研究者は指摘しています。これを行うために、ChillyHellはユーザー名を取得し、その後のパスワードブルートフォース攻撃で使用するために保存します。その後、C2からブルートフォースツールを取得し、発見した各ユーザー名のパスワードをクラックします。
また、このマルウェアには、macOSマルウェアとしては珍しい回避戦術があり、タイムスタンプを操作して痕跡を隠します。ChillyHellは、感染システム上で作成したアーティファクトの関連タイムスタンプを防御側の疑念を減らすために置き換えると、研究者は述べています。
「ファイルのタイムスタンプメタデータを変更する内蔵機能は比較的珍しいものです」とJamf Threat Labsのディレクター、Jaron Bradley氏はDark Readingに語ります。「これを行うmacOSマルウェアは初めてではありませんが、マルウェア自体にハードコードされているのは一般的ではありません。」
増加するmacOSマルウェア
かつては脅威アクターから見過ごされていたmacOSプラットフォームですが、ここ10年ほどで重要な攻撃対象となり、脅威は防御側を悩ませ続けています。
ChillyHellの再登場は、macOSのセキュリティが、このプラットフォームに依存する企業にとって最優先事項であるべきことを改めて示しています。さらに、取り消される前にマルウェアが公証を受けていたことを考えると、その再登場は「すべての悪意あるコードが署名されていないわけではない」という重要な教訓を示しています。
「マルウェアは、正規の手続きを経て他のアプリケーションと同じように配布されると、最も疑念を持たれにくくなります」とBradley氏は述べます。「ユーザーは、ウェブサイトが必要だと言っているからという理由だけでソフトウェアをインストールすべきではありません。インストールする際には、常に『何を』『なぜ』インストールするのかを把握しておくべきです。」
Jamfは、感染システム上でバックドアの証拠を特定するのに役立つ、侵害の痕跡(IoC)の包括的なリストをレポートに含めています。また、ChillyHellの最初の発見に関する詳細を共有したGoogle Threat Intelligenceにも謝意を表しています。
翻訳元: https://www.darkreading.com/endpoint-security/dormant-macos-backdoor-chillyhell-resurfaces