【トラブルシューティング】macOS／Windows をターゲットにしたマルウェア「AppleJeus」が発見！【Kaspersky Labs】

Read Time:1 Minute, 25 Second

Kaspersky Lab、サイバー犯罪組織LazarusがmacOS向けマルウェアを使用し仮想通貨取引所を攻撃する「AppleJeus」を発見

Kaspersky Lab のグローバル調査分析チームである GreAT が、サイバー犯罪組織「Lazarus」によるとみられる新しい攻撃「AppleJues（アップルジュース）」を発見したことを報告しています。この攻撃では、トロイの木馬を仕込んだ仮想通貨取引のアプリケーションを用いることで、アジア地域の仮想通貨取引ネットワークへ侵入し、仮想通貨の窃取を狙ったものと考えられています。

また、これまでの Windows 向けのマルウェアに加えて macOS をターゲットにする未知のマルウェアも見つかっているとのことです。

※「Lazarus」は、北朝鮮のサイバー軍との関わりも指摘されているサイバー犯罪組織になります。

なお、GreAT のリサーチャーが、「Lazarus」によるとみられる macOS ユーザーをターゲットにしたマルウェアを確認したのは、今回が初めてということであり、今後も仮想通貨の取引を macOS の搭載されたデバイスで行う場合にも警戒することを推奨しています。

解析の結果では、ある仮想通貨取引所の従業員が、仮想通貨取引アプリケーションを開発する企業の正規サイトを装った Web サイトからアプリケーションを DL（ダウンロード）したことがきっかけとなり、同取引所のインフラへ侵入されたとみられるとのことです。

このアプリケーションのコードで疑わしい部分は、アップデーターというコンポーネントの部分であるとのこと。正規のアプリケーションでは、プログラムの新しいバージョンを DL（ダウンロード）するときに使われるコードにあたる部分を「AppleJeus」では、偵察モジュールのように使用しているとのことでした。

具体的な方法は、インストール先のコンピューターの基本情報を収集して、司令サーバーへ送信。そのコンピューターに価値があると攻撃者側が判断すると、悪意のあるコードがソフトウェアアップデートという形で送信されていきます。このアップデーターは、「Lezarus」が最近使用していたとみられる古いトロイの木馬「Fallchill」をインストールします。インストール後は、攻撃者は標的のコンピューターへのほぼ無制限のアクセスを得ることになり、重要な財務情報の窃取や窃取のための別のツールをインストールすることが可能になります。

「AppleJeus」の深刻な点は、悪意あるアプリケーションが Windows 向けにも macOS 向けにも開発されている点にあります。一般的に、macOS はサイバー攻撃に遭う割合が Windows よりもはるかに少ないと考えられていましたが、このマルウェアの機能はどちらのプラットフォームに対しても同じとのこと。

もう 1つの特徴は、サプライチェーン攻撃のように見えて、実はそうでない可能性があることにあり、マルウェアを送り込むために使用された仮想通貨取引アプリケーションの開発企業には、そのアプリケーションの有効なデジタル認証とドメイン登録が存在していたものの、公開されている情報からだけでは、その認証情報の住所に正当な事業者が所在していることを特定できていないことになります。

Kaspersky Lab の GReAT APAC の責任者である Vitaly Kamluk（ヴィタリー・カムリュク）は、下記のようにコメントしています。

「仮想通貨市場に対する Lazarus の関心を示す兆候は 2017年の初頭に Monero のマイニングアプリケーションが、Lazarus のサーバーの 1つにインストールされた時でした。それ以降、一般的な金融機関に加えて、仮想通貨取引所を標的にした攻撃が数度にわたって検知されるようになりました。Windows だけでなく macOS にも感染するマルウェアが開発されている事実に加えて、セキュリティーソリューションによる検知を避けるために全くの偽のアプリケーション製品を作り上げている可能性が極めて高い点から、Lazarus が、このオペレーションで多大な利益を見込んでいることが容易に想像できます。私たちは、こうした攻撃の増加に備えるべきであり、今回の発見を警鐘と受け取り、今後は Mac を使用した仮装取引所にも注意を払うべきでしょう」

洗練されたオペレーションと北朝鮮との関係の疑われている「Lazarus」は、サイバースパイ活動やサイバー破壊攻撃だけでなく、金銭目的の攻撃でも注目されているグループになります。これまでも Kaspersky Lab を含む多くのリサーチャーが、銀行や大手金融機関を標的とする、このグループについての調査結果を発表しています。

Kaspersky Labs では、サイバー犯罪組織による高度な攻撃からユーザーや組織を守るために下記のことを推奨しています。

・自社システムで使用しているコードをやみくもに信用しない。たとえ正規に見える Web サイトでも、企業の基礎情報がしっかり存在していたり、デジタル認証があっても、そこにバックドアがないとは限りません。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティーソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを講読する。
・多額の金融取引を行なっている場合は、マルチファクター認証やハードウェアウォレットを活用する。この目的においては、インターネット閲覧や電子メールに利用しない、スタンドアローンのコンピューターの使用を推奨。

※　GReAT（Global Research and Analysis Team）は、Kaspersky Labs の R & D で研究開発に携わる中核部門として、驚異に関する情報収集、調査研究およびその成果発表などの活動を通じて、社内および業界をリードするチームとのこと。また、マルウェアによるインシデント発生時の対応措置も担当しています。

これまで、Mac ユーザーはマルウェア感染を心配する必要が無いと考えてきた傾向がありました。今後は、Mac ユーザーの増加に伴って、サイバー攻撃者が macOS や Linux を標的とした事例も増えてきています。今後、スマートフォンを含むコンピューターを利用するユーザーは、OS にとらわれる事なくマルウェア感染の危機を理解し、少しでもセキュリティー対策を行うことを強くオススメします。

https://linksynergy.jrs5.com/fs-bin/click?id=LOH0l/*PbwM&offerid=343733.29&type=3&subid=0