セキュリティツールを開発する非営利団体「Objective-See」は7月15日(現地時間)、「Objective-See's Blog」において、北朝鮮が関与しているとみられるトロイの木馬化された会議アプリの分析結果を伝えた。
悪意のある会議アプリ
発見された悪意のある会議アプリは「MiroTalk」に偽装した情報窃取マルウェア「BeaverTail」の亜種とされる。このマルウェアは7月15日までにMalwareHunterTeamにより発見され、Xへの投稿で明らかになった。
この悪意のある会議アプリは偽の採用面接に必要として配布された可能性が高いと推測されている。北朝鮮は過去に採用面接を装ってマルウェアを配布したとの指摘があり、今回も同様の手法がとられたとみられている(参考:「Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い | TECH+(テックプラス)」)。
情報窃取マルウェア「BeaverTail」の亜種
情報窃取マルウェア「BeaverTail」は過去にノードパッケージマネージャー(npm: Node Package Manager)から配布された実績がある。このときに配布されたBeaverTailは高度に難読化されたJavaScriptだったが、今回確認された亜種はネイティブの実行可能ファイルとされる。
BeaverTailには次の機能があるとされる。
- キーチェーンのデータ窃取
- Webブラウザーのデータ窃取(ウォレットやクレジットカード情報を含む)
- バックドア「InvisibleFerret」の展開
注意事項
Objective-Seeは発見したマルウェアのサンプルを実験目的で配布しているが、これらの入手は大変危険かつ法律に抵触する可能性がある。セキュリティ研究者以外のアクセスは避けることが望まれる。
対策
今回発見されたBeaverTailの亜種は、発見時点において主要なセキュリティソリューションから検出することができない。そのため、Objective-Seeは追加の対策として「Objective-See: BlockBlock」および「Objective-See: LuLu」の利用を推奨している。
BlockBlockは「Notarization Mode」にて動作している場合、ユーザーがmacOSの警告を無視しても署名されていないアプリの実行をブロックできる。LuLuはマルウェアによるコマンド&コントロール(C2: Command and Control)サーバへの接続など、未知の接続を検出して警告することができる。
これら機能はマルウェアを検出して防御するものではないが、追加の防御層として活用できる。これらセキュリティツールはmacOS向けに無償で提供されており、同様の攻撃を回避するため導入の検討が望まれている。