Jamfはこのほど、「'RustBucket' malware targets macOS」において、持続的標的型攻撃(APT: Advanced Persistent Threat)グループがmacOSを標的にマルウェアを配布しているとして、注意を呼び掛けた。持続的標的型攻撃グループとして知られている「BlueNoroff」が、最新の攻撃で「RustBucket」という名前のマルウェアを使用していることが明らかとなった。
コマンド&コントロール(C2: Command and Control)サーバと通信して、さまざまなペイロードをダウンロードして実行するmacOSマルウェア、RustBucketが発見された。北朝鮮国家が支援している脅威グループに起因するものとみられており、BlueNoroffと呼ばれる持続的標的型攻撃グループが背後にいると考えられている。
北朝鮮の脅威アクタグループ「Lazarus」のサブグループと位置づけられているこのグループは、日本の金融機関を標的にしていることでも知られている(参考「みずほや三菱UFJなど銀行を模倣し、日本市場狙う「BlueNoroff」に注意 | TECH+(テックプラス)」)
Internal PDF ViewerというmacOS向けPDFビューアになりすまし、RustBucketが配布されている。攻撃はPDFビューアに含まれているAppleScriptファイルから始まるとされ、多段階のペイロードの実行の後、最終的にC2サーバに接続してトロイの木馬であるRustBucketがドロップされることが確認されている。
BlueNoroffと強いつながりを持つLazarus Groupが長年にわたってmacOSを標的にしてきた歴史があることから、今後さらに関連する多くの持続的標的型攻撃グループが同様のキャンペーンを実行すると予測されている。macOSユーザーは常に注意を払うとともに、最新のセキュリティパッチを適用するなどしてセキュリティ対策を継続して実施することが望まれている。