Kaspersky、APTグループ「WildPressure」の攻撃活動を調査中に、macOSにも感染するマルチプラットフォームマルウェアを確認

株式会社カスペルスキー

[本リリースは、2021年7月7日にKasperskyが発表したプレスリリースに基づき作成したものです]

---【概要】---
Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT(高度サイバー攻撃)グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査しています。
https://securelist.com/wildpressure-targets-industrial-in-the-middle-east/96360/
この攻撃グループが産業分野を対象にしたとみられる直近のある攻撃を分析したところ、異なるプログラミング言語で書かれた新しいバージョンの「Milum」を複数発見しました。そのうちの一つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明しました。マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。なお、WildPressureマルウェアのリバースエンジニアリング方法は、ビデオ(英語)「Reversing in action: New WildPressure targets macOS」でご覧いただけます。
https://www.youtube.com/watch?v=1v79QRhi1HM

---------------

脅威を検出する時は、一つの小さな手掛かりから多くの発見に至ることがありますが、今回も例外ではありません。多くの攻撃では、攻撃対象のデバイスをトロイの木馬に感染させた後、攻撃者のサーバーに対して感染デバイスの情報、ネットワーク設定、ユーザー名などが含まれるビーコンを送信します。攻撃者はその情報を基に、感染したデバイスに何らかの価値があるかどうかを判断します。しかし、Milumの場合は、その開発時のプログラミング言語に関する情報も送信されていました。
当社のリサーチャーが2020年に初めて当攻撃を調査した際、このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察していましたが、このたび、この仮説が裏付けられました。

2021年春、当社はWildPressureによる新たな攻撃を観測しました。この攻撃では、Milumマルウェアの新たなバージョンのセットが使用されており、発見したファイルにはプログラミング言語C++で書かれたMilumトロイの木馬と、そのVisual Basic Script(VBScript)版の亜種が含まれていました。さらにこの攻撃を調査した結果、Pythonで書かれた別マルウェアが見つかり、WindowsとmacOS両方のオペレーティングシステムを標的として開発されていることが分かりました。
これらの三つのバージョンのトロイの木馬は、攻撃者からの指令コマンドをダウンロードして感染デバイスで実行し、デバイスの情報を収集し、自らを新しいバージョンにアップグレードするようになっていました。

マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれていました。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていました。このマルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を行います。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていました。

Kaspersky グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)は、次のように述べています。「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムを持っています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」

・WildPressureの詳細やIOC(侵害の痕跡)は、Securelistブログ(英語)「WildPressure targets the macOS platform」でご覧いただけます。 
https://securelist.com/wildpressure-targets-macos/103072/

■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jp をご覧ください。
 

 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

株式会社カスペルスキー

12フォロワー

RSS
URL
https://www.kaspersky.co.jp/
業種
情報通信
本社所在地
東京都千代田区外神田3-12-8 住友不動産秋葉原ビル 7F
電話番号
03-3526-8520
代表者名
小林岳夫
上場
未上場
資本金
-
設立
2004年02月