macOSにNokNok

ほぼこもセキュリティニュース By Terilogy Worx

ここのところ、Windowsをターゲットとした攻撃でLNKファイルが攻撃チェーンの中で使われるケースが増えています。
そういった活動をしている脅威アクターの一つに、TA453があります。
このLNKファイルはWindows環境で利用できるいわゆるショートカットファイルで、この仕組みの中の機能を悪用することで攻撃を成り立たせるものとなっています。
TA453もこのLNKファイルを悪用した攻撃で一定の活動を実施していました。
しかしこのTA453は、そこに留まっていませんでした。
LNKファイルを使用した攻撃ではWindowsのみが活動領域となるのですが、macOSにも攻撃の領域が広げられてきています。
TA453のmacOS向けの活動の様子は次の通りです。

  • 被害者にメールする
    初期経路はこの場合もメールです。
    メールで始まる脅威はいまでも多いです。

     

  • メールにファイルを添付する
    これも良くある手口です。
    ファイルが添付されています。
    添付ファイルはパスワード保護されたZIPファイルです。

     

  • ZIPの中身はマルウェアローダー
    実行形式のファイルが入っています。
    対象環境がmacOSですので、macOSで実行が可能なMach-Oバイナリです。
    メールの文面でこのバイナリはVPNのクライアントソフトだということになっています。
    メール受信者はこれを実行します。

     

  • バイナリはマルウェアを持ってくる
    マルウェアローダーはマルウェアを持ってきます。
    起動されたローダーはmacOS環境で利用できるスクリプトを実行します。
    スクリプトの中でcurlが起動され、ファイルがダウンロードされます。
    ファイルはバックドア機能を持つNokNokです。

     

  • NokNokは仕事する
    起動されたNokNokは無限ループします。
    感染環境の固有識別子を生成し、これを暗号化した内容をC2にHTTP POSTします。
    C2からはコマンドが回答されます。
    確認されているコマンドは、終了、プロセス一覧確認、ネットワークの設定収集、アプリ情報収集、などです。
    他にもコマンドはあるようですが観測時点では機能しないものでした。

Windows向けのマルウェアやAndroid向けの攻撃など、非常に多いです。
しかしそれ以外の環境を想定した脅威が少ないわけではなく、macOS向けの攻撃も増加しています。

注意して注意しすぎるということはなさそうです。

参考記事(外部リンク):イランAPT「TA453:Charming Kitten」によるLNKとMacマルウェアへの進出
www.proofpoint.com/jp/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。