日本の暗号通貨取引所を標的とした攻撃が、Bitdefenderの研究チームとElastic Security Labsによって発見されました。独自のバックドアとオープンソースのmacOSツールを使用した今回の攻撃は、偵察とコマンド&コントロールを目的に、システムに設置された様々なバックドア経由でスパイウェアを侵入させるというものです。
マルウェアの名前:JokerSpy
影響:
Elastic Security Labsの研究チームによると、攻撃者は独自のTCC(Transparency, Consent, and Control)データベースを作成して既存のものと置き換えてmacOSのTCC権限のバイパスを試み、さらに、Pythonバックドアであるsh.py
を使って特定のファイルから構成を読み込むことで、感染したシステム上で様々なコマンドやアクションを実行しようとしました。また、JokerSpyのバックドアでシステムに侵入した後、レッドチーム演習用に設計されたオープンソースのmacOS向けポストエクスプロイト偵察ツールセット「SwiftBelt」のインスタンスが実行されたことも明らかになりました。
JokerSpyの存在が公になって以来、Jamf Threat Labsはこのマルウェアを効果的にブロックしており、これはJamfがいかにAppleプラットフォームにフォーカスしているかを物語っています。また、今回の攻撃でSwiftBeltが使用されていたことを考えても、最新のツールを迅速に分析してブロックルールをカスタマイズし、新たな脅威の到来に備えることのできるJamfの能力が非常に重要となるのは明らかです。注目すべきなのは、Jamf ProtectにSwiftBeltをブロックするカスタムルールが2年以上前から用意されていたということです。このような積極的なアプローチは、実際にマルウェアのキャンペーンが発生してから新たなApple用エクスプロイトツールへの対応を行う傾向にある一般的なマルチプラットフォームベンダーとは一線を画しており、もっとも包括的かつ最新のmacOS向けセキュリティツールを提供するというJamfの確固たるコミットメントを明確に示すものです。
対策:
2023年6月19日現在、Jamf Protectはこのマルウェアキャンペーンを追跡しており、カスタム脅威防御ルールでその実行をブロックしています。
さらに、Jamf Protectは挙動分析を通じて今回の攻撃で見られたような偽造TCCデータベースの作成を検出し、アラートを発することができます。 TCCデータベースには、ユーザがフルディスクアクセスや連絡先へのアクセスなどの特別な権限を与えたアプリが記録されています。これまで、このセキュリティ機能を悪用しようとする攻撃者は、ディスク上に独自の改ざんされたTCC.dbファイルを作成し、オペレーティングシステムにmacOSの本物のデータベースの代わりにそのTCC.dbファイルを使用させる必要がありました。
BitdefenderおよびElasticによって発表されたIoC(侵害の痕跡)
BitdefenderおよびElasticによって公開された悪意のあるURL
【マルウェアは深刻な問題を引き起こします。Jamfで身を守りましょう】
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。