macOS のゼロデイ脆弱性:国家支援型マルウェアが香港のユーザーに配信される

macOS Zero-Day Exploited to Deliver Malware to Users in Hong Kong

2021/11/12 SecurityWeek — 木曜日に Google は、macOS のゼロデイ脆弱性を悪用して、香港のユーザーにマルウェアを配信するという、最近の攻撃に関する詳細を発表した。Google によると、この攻撃は8月下旬に発見されており、コードの品質から見て、独自のソフトウェア・エンジニアリング・チームにアクセスできる、十分なリソースを持った国家支援型の脅威グループの可能性が高いとのことだ。


Google は国名を明らかにしていないが、香港のユーザーは通常、中国がスポンサーとなっている脅威企業に狙われている。具体的には、香港のメディアの Web サイトと、民主主義擁護の労働/政治グループの Web サイトが関与していた。これらのサイトには、iOS/macOS 用のエクスプロイトを提供する、2つの iframe が組み込まれていた。

iOS 用のエクスプロイトの場合、Google の研究者はエクスプロイト・チェーンの全容を把握できなかったが、Ironsquirrel ブラウザ・エクスプロイト配信プロジェクトをベースにしたフレームワークを使用し、CVE-2019-8506 として追跡されている古いリモートコード実行の脆弱性を悪用していることまで判明している。

その一方で、macOS の場合は、WebKitに存在するリモートコード実行の脆弱性 (CVE-2021-1789 として追跡され、Appleが1月にパッチを適用) と、特権昇格の脆弱性を利用していた。

CVE-2021-30869 として追跡されているゼロデイ脆弱性にパッチを提供した際に、この脆弱性が悪用されていると、Apple は警告していた。このセキュリティ・ホールは、iOS と macOS の使用されている OS カーネル XNU における、タイプ・コンヒュージョンの脆弱性であり、カーネル権限で任意のコードを実行を許す可能性がある。

Google が、macOS のエクスプロイトを分析したところ、攻撃者がエクスプロイトの試行回数を記録するために設定したパラメータに、およそ 200という数値が記録されていた。

今回の攻撃で配信された Mac 用マルウェアは、キーストロークのキャプチャ/スクリーンショットの撮影/侵害されたデバイスの指紋採取/ファイルのアップロードおよびダウンロード/端末コマンドの実行、音声の録音などを可能にするものだ。

セキュリティ研究者である Patrick Wardle は、このマルウェアを OSX.CDDS と名付け、その詳細をブログに掲載している。CDDS という名前は、このマルウェアの機能に関連する文字列フォーマットに由来している。Wardle が解析したマルウェアのサンプルは、マルウェア解析サービス VirusTotal に登録されている、いずれのアンチウイルス・エンジンでも検出されていない。

話の内容からして、香港のユーザーに対する中国側からの監視なのでしょう。前日に「NSO Group や Positive Technologies など4社が米政府により制裁される」という記事をポストしましたが、このような企業が存在することは、とても残念なことです。先日の Black Hat でも、サーバー空間の傭兵という言葉で、厳しく批判されていました。

%d bloggers like this: