RustBucket マルウェア

サイバーセキュリティの専門家は、macOS を実行している Apple デバイスを標的とするように特別に設計された新しい形式のマルウェアを特定しました。 RustBucket として知られるこの脅威的なソフトウェアは、BlueNoroff と呼ばれる高度持続型脅威 (APT) グループによって利用されています。BlueNoroff は、悪名高いLazarusグループと密接に関連しているか、そのサブグループでさえあると考えられています。

特に、BlueNoroff は以前、Mark-of-the-Web セキュリティ プロトコルを回避できるマルウェアを使用して Windows ベースのシステムを標的にしていました。新たに発見された macOS マルウェアは、期待どおりに機能しているように見える「Internal PDF Viewer」と呼ばれる正規の PDF ビューアー アプリケーションに偽装されています。ただし、実際には、侵害されたシステム上の機密データへの不正アクセスを取得するために使用される陰湿なツールです。この脅威に関する詳細は、モバイル デバイス管理会社である Jamf によって公開されました。

RustBucket macOS マルウェアは複数の段階で配信されます

RustBucket マルウェアは、多段階のアプローチを使用して、標的の Mac デバイスに感染します。第 1 段階は、「Internal PDF Viewer」と呼ばれる署名のないアプリケーションで、実行時にコマンド アンド コントロール (C2) サーバーからマルウェアの第 2 段階をダウンロードします。

マルウェアの第 2 段階は「Internal PDF Viewer」と同じ名前ですが、今回は正規の Apple バンドル識別子 (com.apple.pdfViewer) に見えるように設計された署名付きアプリケーションであり、アドホックなサイン。攻撃者は、マルウェアをさまざまな段階に分割することで、特に C2 サーバーがオフラインになった場合に、分析をより困難にします。

破損した PDF ファイルは、RustBucket 感染の最後のピースです

ただし、この段階でも、RustBucket が悪意のある機能をアクティブにすることはありません。侵害された macOS デバイスで真の機能を有効にするには、特定の PDF ファイルを開く必要があります。この破損した PDF ファイルは、技術的な新興企業への投資を検討しているベンチャー キャピタル企業に関する情報が含まれていると称する 9 ページの文書に偽装されています。

実際には、ファイルを開くと、同じくアドホック署名で署名され、Rust で記述された 11.2 MB のトロイの木馬の実行がトリガーされ、RustBucket 感染チェーンが完了します。トロイの木馬の脅威は、基本的なシステム データを収集して現在実行中のプロセスのリストを取得することでシステムの偵察を実行するなど、さまざまな侵入機能を実行できます。また、仮想環境で実行されている場合、この脅威は攻撃者にデータを送信します。

サイバー犯罪者は macOS エコシステムに適応し始めています

サイバー攻撃者によるマルウェアの利用は、macOS オペレーティング システムがますますサイバー犯罪の標的になりつつある傾向を浮き彫りにしています。この傾向は、サイバー犯罪者がツールと戦術を更新して Apple プラットフォームを含める必要があることを認識しているという事実によって引き起こされています。これは、潜在的な被害者のかなりの数が、macOS システムの脆弱性を悪用する戦略を採用した攻撃者の標的になる危険にさらされていることを意味します。