MacControl

MacControlは、サイバーセキュリティアナリストによって、Macユーザーを特に標的とするように設計された後期トロイの木馬の脅威として分類されています。 MacControlがユーザーのコンピューターに自分自身を正常に埋め込むことができれば、攻撃者は侵入先のデバイスを幅広く制御できるようになります。

MacControlは、Macユーザーに武器化されたWord文書が広まるのを目撃した標的型攻撃キャンペーンを通じて提供されました。システムへの足がかりを得るために、ハッカーは古いOffice forMacの脆弱性を悪用しました。このエクスプロイトは、Microsoft Office Wordが、特に不正な形式のレコードを含むように作成されたWord文書を処理しようとするたびに発生します。この脆弱性により、攻撃者はリモートコード実行権限を取得できます。サイバー犯罪者は、プログラムのインストール、ファイルシステムの操作、完全なユーザー権限を持つ新しいアカウントの作成などを行う可能性があります。制限された権限を持つアカウントを持つユーザーは、完全な管理者権限を持つユーザーと比較して、脅威の影響を受けにくいようです。

MacControl攻撃チェーン

攻撃の最初のステップは、TrojanizedWord文書を添付ファイルとして含む電子メールの配信です。ユーザーがOfficefor Macで破損したドキュメントを開くと、最初の破損したペイロードがトリガーされ、メモリにコピーされます。攻撃の第2段階では、いくつかのファイルがディスクの/ tmp /フォルダーにコピーされ、破損したスクリプトが実行されます。

次の段階で、最初の実際のマルウェアの脅威が感染したシステムにドロップされます。これは、ニューヨークに拠点を置くコマンドアンドコントロールサーバーで以前に検出された脅威です。攻撃にはもう1つのステップが含まれ、これまで知られていなかったマルウェアの作成であるMacControlがコンピューターに配信されます。 MacControlのいくつかの異なるバージョンがinfosecの研究者によって観察されており、それぞれが異なるアーキテクチャで動作するように設計されています。

MacControl攻撃は中国とのつながりを示しています

MacControlが発見された、または中国と関係を持っていることに責任のある犯罪者を指し示す強力な証拠が明らかになりました。攻撃を開始するために使用されたルアーワード文書は、痛烈な地域の問題について話し、国連人権委員会宛ての手紙として表示されるように構成されています。トピックは、中国に対するチベット人の反乱の記念日です。 MacControlのコマンドアンドコントロールインフラストラクチャも中国に拠点を置いていることが研究者によって発見されたときに、別のリンクが発見されました。