Kaspersky Labは12月5日(現地時間)、「New BlueNoroff loader for macOS|Securelist」において、macOSを標的とするトロイの木馬「RustBucket」の新しいマルウェアローダを発見したと報じた。RustBucketは北朝鮮が関係するとされる脅威グループ「BlueNoroff」が配布しているトロイの木馬型マルウェアとされ、2023年4月にも攻撃が確認されている(参考:「PDFビューアになりすましMac狙うサイバー攻撃に注意、北朝鮮が関与 | TECH+(テックプラス)」)。

  • New BlueNoroff loader for macOS|Securelist

    New BlueNoroff loader for macOS|Securelist

前回の攻撃では、PDFビューアになりすまして悪意のあるペイロードが配布された。これに対して、今回は「Crypto-assets and their risks for financial stability(暗号資産と金融安定に対するそのリスク)」という名前のZIPファイルの中で問題のマルウェアローダが発見されている。これまでのところこのZIPファイルがどのように配布されたのかはわかっていないが、過去のキャンペーンと同様にメールで配布された可能性があるという。

  • マルウェアローダの構造 - 提供:Securelist

    マルウェアローダの構造  引用:Securelist

このマルウェアローダの実行ファイル本体は「EdoneViewer」という名称で、IntelとApple双方のCPUで動作するユニバーサル形式とされる。EdoneViewerを実行すると暗号化されていたスクリプトが復号され、実行される。スクリプトはさらにシェルコマンドを構築して実行し、おとりのPDFファイルをダウンロードして表示する。その後ペイロードをダウンロードして「/Users/Shared/.pw」に保存、脅威アクターのコマンド&コントロール(C2: Command and Control)サーバのURLを引数に与えて実行する。

/Users/Shared/.pwとしてダウンロードされたペイロードは8月に検出したことのあるトロイの木馬とされる。このマルウェアは、次の情報を窃取してコマンド&コントロールサーバに送信する機能があるとされる。

  • コンピュータの名前
  • OSのバージョン
  • タイムゾーン
  • デバイスの起動日
  • OSのインストール日
  • 現在の時刻
  • 実行中のプロセスのリスト

他にも、C&Cサーバから送られてくるファイルを「/Users/Shared/.pld」に保存して実行する機能があるとされる。Kaspersky Labは、現時点でC&Cサーバからのコマンドを確認できておらず、次の攻撃手段はわからないとしている。

Kaspersky Labによると、すでに多くのアンチウイルスソフトウェアがこのトロイの木馬を検出できるという。Kaspersky Labはマルウェアの調査において判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。