Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに

New Mac Malware Samples Underscore Growing Threat

2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。

このリストは、企業のリモートワーカーを中心に macOS が浸透し始めている現在、セキュリティ担当者が macOS を標的とした脅威について、理解を深めるために作成されたものだ。昨年、モバイル・デバイス管理ベンダーの Kandji が実施した、300人の IT 専門家を対象とした調査によると、過去2年間で Apple 製デバイスの利用者数が 76% ほど増えていることが分かった。また、53% の企業が、同時期に Apple 製デバイスへの要求が増加したと回答している。

Wardle のリストは、macOS を標的として、2021年に表面化した8種類の新しいマルウェア・サンプルで構成されている。その中には、2021年1月に登場したクロスプラットフォームのリモート・アクセス・トロイの木馬 ElectroRAT や、Apple M1 チップを特にターゲットにしたマルウェア・ツール Silver Sparrow、クロスプラットフォームでパスワードを盗む XLoader、そして、国家に支援された機関が開発したと思われる macOS インプラント MacMa (OSX.CDDS) が含まれている。

これらのマルウェアを発見したのは、複数のウイルス対策企業やセキュリティ企業である。たとえば Intezer は、2020年1月に暗号通貨マイニングについて、広範囲におよぶ調査を行った際に、ElectroRAT を発見した。その時に、同社は ElectroRAT について、ゼロから開発されたマルウェアツールであり、Windows/Linux/macOS の環境を標的にする珍しい例であると説明していた。

2021年2月に Red Canary は、Apple M1 チップ上で動作するようコンパイルされたバイナリとして、Silver Sparrow を報告しました。同社によると、約 29,139台の Mac 端末が、このマルウェアのインストーラーの影響を受けたが、ペイロードは存在していなかった。XLoader を発見した Check Point の研究者たちは、Formbook と呼ばれる有名な情報窃取ソフトを、macOS 用に書き換えたものであることを突き止めた。

Google の脅威分析グループのメンバーは、香港のメディアや民主主義団体の Web サイトへの訪問者を対象とした、高度なウォータリングホール攻撃を調査した際に、MacMa (OSX.CDDS) を発見した。研究者たちは、攻撃者が macOS Catalina のゼロデイ特権昇格脆弱性 (CVE-2021-30869) を悪用して、MacMa バックドアを投下していることを発見した。Google は、そのペイロードコードの品質から、このマルウェアは十分なリソースを持ち、国家に支援されている可能性の高い脅威アクターの仕業であると評価している。

Wardle は、Xcode の開発者を対象とするバックドア EggShell を搭載した XcodeSpy や、Apple が誤ってデジタル署名した暗号通貨マイニングツール ElectrumStealer、Kaspersky が中東の工場などから発見したクロス・プラットフォームの Python バックドア WildPressure、Baidu のスポンサー付き検索結果を介して拡散し、感染したシステムに Cobalt Strike エージェントをインストールしてデータを盗む ZuRu といったマルウェアを挙げている。

LogicHub の CMO である Willy Leichter は、昨年で最大の Mac マルウェアの脅威について、ElectroRAT や OSAMiner などの暗号解読や、Silver Sparrow などのアドウェアローダー、Xloader や Macma などの情報窃取、WildPressure などのクロス・プラットフォーム型トロイの木馬など、いくつかのカテゴリーに分類されると述べている。

残る誤解

Leichter は、「攻撃数の違いから、Mac は Windows と比べて、本質的に安全であるという誤解がまだ残っている。この誤解は、Windows が依然として圧倒的なシェアを持つ、現在の市場を反映したものだ。Macには、いくつかのセキュリティ上の優位性があるが、2つのトレンドにより変化が生じている。マルウェアの標的は、基本的な OS から、ブラウザのプラグインへと移行している。さらに、マルウェアの開発者は、OS に依存しないクロス・プラットフォーム対応版を作成するようになっている」と述べている。

Jamf の MacOS Detections Manager である Jaron Bradley は、2021年の Mac の脅威の状況で最も注目すべき動きとして、脅威アクターたちが のMac への攻撃に、多大な労力を費やしたことを挙げている。そこには、新たなゼロデイ脆弱性を見つけ出し、それを悪用して Mac 専用のマルウェアを配布することも含まれているという。彼は、例として、Apple の Transparency Consent and Control (TCC) フレームワークに存在する、ゼロデイのバイパス脆弱性 CVE-2021-30713 を攻撃者が悪用し、XCSSET というマルウェアを配信したことを挙げている。

Bradley は、「ゼロデイ・バイパスを実装したマルウェアは、攻撃者が macOS に対して有能であり、また、知識を蓄えていることを示している。それだけでなく、攻撃者がツールの開発に時間をかけて、このような攻撃方法を組み込むことに価値を見出していることも示している」と述べている。

彼は、「少なくとも現時点において、アドウェアの脅威が macOS 上に最も多く存在するマルウェアであることに変わりはない。しかし、2021年に入ってからは、バックドアを使った Mac のリモート操作に重点を置いた、より洗練された脅威も登場している」と指摘し、ZuRu や OSX.CDDS などを例に挙げている。

Bradley は、「このような傾向から、ユーザー組織は macOS 環境に細心の注意を払う必要がある。これまでに、数多くのセキュリティ企業は、macOS と iOS は既存の制御で十分に安全だと考えてきたが、それらのデバイスは攻撃者の格好の標的になってきた。セキュリティ・チームは、これらのプラットフォームに対する技術的な理解を、他のプラットフォームと同等のレベルに引き上げ、悪意の行動や攻撃を特定できるようにする必要がある」と述べている。

なんとなく、Mac は安全そうと思っている人が多いはずです。また、これまでとは異なり、リモートワーカーが増えたことで、そこを入り口としてエンタープライズを狙う脅威アクターも増えているはずです。それらを考えると、Mac をターゲットとするサイバー攻撃のモチベーションが大きく変化していることが予測されます。この記事の冒頭にもリンクがありますが、Patrick Wardle さんの The Mac Malware of 2021 [pdf] は、とても有益な資料だと思います。ご参照ください。

%d bloggers like this: