macOS ユーザーを狙う RustBucket マルウェア亜種：特異な永続性メカニズムを装備

Beware: New ‘RustBucket’ Malware Variant Targeting macOS Users

2023/07/01 TheHackerNews — 研究者たちが発見したのは、永続性を確立し、セキュリティ・ソフトウェアによる検出を回避する機能を備えた、RustBucket と呼ばれる macOS マルウェアの更新バージョンだ。Elastic Security Labs の研究者たちは、6月29日に公開されたレポートで、「macOS システムを標的とするマルウェア・ファミリーである RustBucket の亜種は、Command-and-Control (C2) のための動的ネットワーク・インフラ手法を活用し、これまで観測されていなかった永続化機能が追加されている」と説明している。

RustBucket は、北朝鮮の脅威アクター BlueNoroff が開発したものである。そして、同国の主要な諜報機関である RGB (Reconnaissance General Bureau) が監督する、エリート・ハッキング・ユニット Lazarus Group の大規模な侵入セットの一部として使用されている。

2023年4月に Jamf Threat Labs が、このマルウェアはリモート・サーバから第２段階のペイロードを取得する、AppleScript ベースのバックドアであると説明したことで、広く知られるようになった。その一方で Elastic は、この活動を REF9135 として追跡している。

Swift でコンパイルされた第２段階のマルウェアは、C2 サーバからメインのマルウェアをダウンロードするように設計されている。広範な情報を収集する機能を持つ Rust ベースのバイナリであるだけでなく、侵害したシステム上で追加の Mach-O バイナリやシェルス・クリプトをフェッチして実行する。

このマルウェアは macOS ユーザーを標的とした、最初の BlueNoroff マルウェアだが、同様の機能を持つ RustBucket の .NET 版も登場している。

フランスのサイバー・セキュリティ企業である Sekoia は、2023年5月下旬に発生した RustBucket キャンペーンの分析において、「最近の Bluenoroff の活動は、この侵入セットのマルウェアの開発作業において、クロスプラットフォーム言語が重視され、その能力をさらに拡大し、広範な被害者をターゲットにしていく可能性が高いことを示している」と述べている。

RustBucket の感染チェーンは、macOS のインストーラ・ファイルで構成され、バックドア化され機能的な PDF リーダーをインストールするところから始まる。この攻撃の要点は、不正な PDFリーダーを使用して、兵器化された PDF ファイルが起動された場合にのみ、悪意の活動が開始されるところにある。最初の侵入経路として挙げられるのは、フィッシング・メールや、LinkedIn などの SNS 上での偽ペルソナの使用などである。

観測された攻撃は、アジア／欧州／米国などの金融関連機関を標的とした、高度な標的型攻撃であり、制裁を回避する不正な収益獲得に向けた活動であることを示唆している。

新たに確認されたバージョンで注目すべき点は、その特異な永続性メカニズムと、C2 サーバにダイナミック DNS ドメイン (docsend.linkpc[.]net) を使用していることだ。さらに、レーダーを回避することに重点を置いた対策も取り入れられている。

研究者たちは、「この更新された RustBucket サンプルの場合、/Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist というパスに、plist ファイルを追加することで独自の永続性を確立し、マルウェアのバイナリを次のパス /Users/<user>/Library/Metadata/System Update にコピーする」と説明している。

macOS を標的とする Golang ベースのマルウエアに関しては、2023/05/16 の「Cobalt Strike の Golang 亜種が登場：Apple macOS を狙う中国の APT とは？」という記事がありました。ちょっと古い記事になりますが、2021/07/27 には「攻撃者たちが Go / Rust / Nim / DLang を使うのは何故なのか？」もポストしています。Golang などを使うことで、費用と時間をかけることなく、macOS 用のマルウエアが開発できるようになっているようです。