マイク・ピーターソン
· 1分で読めます
マルウェアのイラスト
セキュリティ研究者らは、11月に香港の民主活動家らのMacデバイスを侵害するために使われた、現在はパッチが適用されたマルウェア攻撃を分析した。
攻撃は2021年に発生し、「ウォーターホール型」の手法、つまり潜在的な標的が興味を持つ可能性のあるウェブサイトに侵入する手法が利用されていた。グーグルは2021年9月にアップルがパッチをリリースした後、11月にこの脅威を特定した。
ESETのセキュリティ研究者によると、この攻撃では、iOSとmacOSのエクスプロイトの複数の連鎖が使用されてキャンペーンが実行され、攻撃者にルートアクセスを許可し、被害者のデバイスから情報を収集することができたという。
この攻撃は、攻撃者が作成した可能性のある偽サイトや、香港の正規ラジオ局の侵害されたウェブサイトなど、民主化推進派のウェブサイトに対して行われた。
攻撃の分析によると、これらのウェブサイトはMacがmacOS Catalinaの脆弱なバージョンを実行しているかどうかをチェックし、もし実行されていた場合、エクスプロイトコードを起動するJavaScriptスニペットを実行するとのことです。
そこから、攻撃は複雑なWebKitエクスプロイトを悪用し、ブラウザ内でコード実行権限を取得します。ESETによると、このエクスプロイトは1,000行以上のコードで構成されていました。コメントアウトされたコードの一部は、この攻撃がiOSだけでなく、ポインタ認証コードによるセキュリティ保護機能を備えた新しいiPhoneモデルにも展開可能だった可能性を示唆しています。
コード実行が許可されると、攻撃の次の段階では、別の脆弱性を悪用した実行ファイルオブジェクトが利用され、権限昇格が行われました。この脆弱性により、攻撃者はデバイスのルートアクセスを取得しました。
攻撃者がルートアクセスを取得すると、次の段階ではDazzeSpyを展開しました。これは、コンピューターからのファイルの窃取、スクリーンキャプチャ、ターミナルでのコマンド実行、キーストロークの記録を可能にするフル機能のバックドアです。また、LaunchAgentsフォルダにplistファイルを追加することで、永続性も確保しました。
DazzleSpy マルウェアも、単一のコマンド アンド コントロール サーバーと通信するようにハードコードされていました。
ESETは、攻撃の複雑さと使用されたエクスプロイトを考慮すると、背後にいるグループは「強力な技術力」を持っている可能性が高いと推測しています。内部エラーメッセージやその他のアーティファクトの一部は中国語で書かれており、中国で発生したことを示唆しています。
前述のように、Appleは2021年9月23日に攻撃に使用された脆弱性を修正しました。
