Jamf ブログ
June 30, 2023 投稿者 Jamf Threat Labs

Jamfでマルウェア「JokerSpy」から身を守る

日本の仮想通貨取引所が、バックドア経由でスパイウェアを送り込むマルウェアの標的になりました。 この攻撃の方法や、Jamfがどのようにこの種のマルウェアを阻止するのかについて説明します。

日本の暗号通貨取引所を標的とした攻撃が、Bitdefenderの研究チームとElastic Security Labsによって発見されました。独自のバックドアとオープンソースのmacOSツールを使用した今回の攻撃は、偵察とコマンド&コントロールを目的に、システムに設置された様々なバックドア経由でスパイウェアを侵入させるというものです。

マルウェアの名前:JokerSpy

影響:

Elastic Security Labsの研究チームによると、攻撃者は独自のTCC(Transparency, Consent, and Control)データベースを作成して既存のものと置き換えてmacOSのTCC権限のバイパスを試み、さらに、Pythonバックドアであるsh.pyを使って特定のファイルから構成を読み込むことで、感染したシステム上で様々なコマンドやアクションを実行しようとしました。また、JokerSpyのバックドアでシステムに侵入した後、レッドチーム演習用に設計されたオープンソースのmacOS向けポストエクスプロイト偵察ツールセット「SwiftBelt」のインスタンスが実行されたことも明らかになりました。

JokerSpyの存在が公になって以来、Jamf Threat Labsはこのマルウェアを効果的にブロックしており、これはJamfがいかにAppleプラットフォームにフォーカスしているかを物語っています。また、今回の攻撃でSwiftBeltが使用されていたことを考えても、最新のツールを迅速に分析してブロックルールをカスタマイズし、新たな脅威の到来に備えることのできるJamfの能力が非常に重要となるのは明らかです。注目すべきなのは、Jamf ProtectにSwiftBeltをブロックするカスタムルールが2年以上前から用意されていたということです。このような積極的なアプローチは、実際にマルウェアのキャンペーンが発生してから新たなApple用エクスプロイトツールへの対応を行う傾向にある一般的なマルチプラットフォームベンダーとは一線を画しており、もっとも包括的かつ最新のmacOS向けセキュリティツールを提供するというJamfの確固たるコミットメントを明確に示すものです。

対策:

2023年6月19日現在、Jamf Protectはこのマルウェアキャンペーンを追跡しており、カスタム脅威防御ルールでその実行をブロックしています。

さらに、Jamf Protectは挙動分析を通じて今回の攻撃で見られたような偽造TCCデータベースの作成を検出し、アラートを発することができます。 TCCデータベースには、ユーザがフルディスクアクセスや連絡先へのアクセスなどの特別な権限を与えたアプリが記録されています。これまで、このセキュリティ機能を悪用しようとする攻撃者は、ディスク上に独自の改ざんされたTCC.dbファイルを作成し、オペレーティングシステムにmacOSの本物のデータベースの代わりにそのTCC.dbファイルを使用させる必要がありました。

BitdefenderおよびElasticによって発表されたIoC(侵害の痕跡)

BitdefenderおよびElasticによって公開された悪意のあるURL

【マルウェアは深刻な問題を引き起こします。Jamfで身を守りましょう】

Jamf Threat Labs
Jamf
Jamf Threat Labsは、Appleとモバイルデバイスのエコシステムに焦点を当てたペネトレーションテスト、ネットワーク監視、マルウェア研究、アプリのリスク評価など、幅広い分野において豊富な経験を持つサイバーセキュリティ専門家や研究者、データ科学者から構成されています。
ブログ購読

マーケットトレンド、Apple の最新情報、Jamf のニュースをメールでお届けします。

当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。