公開されていないCloudMensis

CloudMensisは、Objective-Cで開発されたmacOS用のマルウェアです。
macOSの動作するCPU環境はIntelのものとAppleのものがありますが、このマルウェアはこれらの両方に対応するようにコンパイルされています。

• ターゲットは選択済み
  侵害先は何らかの方法ですでに選択済みとなっているように考えられます。
  CloudMensisの活動の開始される前の状態で何らかの手法によって侵害先の管理者権限も入手済みとなっています。

   

• 1段階目はダウンローダー
  1段階目のマルウェアがどのようにして侵害先に届けられるのかについてはまだ明らかになっていません。

   

• アクセストークン
  アクセストークンは認証済みユーザーを識別するための文字列です。
  ログインセッションのセキュリティクレデンシャル、ユーザー、ユーザーのグループ、ユーザーの特権を識別できます。
  このアクセストークンを使ってクラウドストレージにアクセスします。

   

• クラウドストレージのファイルは一般公開ではない
  マルウェア本体はクラウドストレージ上に保存されているものを持ってきます。
  マルウェアの使用者によって保存されたもので、一般公開はされていません。
  所定のアクセストークンを持ったユーザにだけアクセスできるものとして保存されています。

   

• 2段階目はマルウェア本体
  2段階目はCloudMensisの本体です。
  いわゆるスパイウェアです。
  これはアクセストークンを使ってクラウドストレージから取得されます。

クラウドストレージはCloudMensisの配布にも使用されますし、C2として指令を届けるためにも使用されます。
また不正に取得した情報のアップロード先としても使用されます。

CloudMensisは非常に多機能なマルウェアです。

• 実行中プロセスの一覧表示
• スクリーンキャプチャ
• 電子メールメッセージと添付ファイルの一覧表示
• リムーバブルストレージのなかのファイルの一覧表示
• クラウドストレージへのアップロード
• 任意のファイルをダウンロードして実行
• CloudMensis構成の設定変更機能

これらをはじめとした39の機能が現在実装されています。
CloudMensisは各種脆弱性を使用して活動の幅を広げます。
しかし現在確認されている範囲では修正ファイルを入手できない脆弱性の悪用は確認されていません。

たとえばmacOSにはTCC機能というものがあります。
TCCは画面キャプチャ、カメラ、マイク、キーボードイベントなどの一部の機密入力へのアクセスを制御する機構です。
CloudMensisはTCCのバイパス機能を搭載していますが、適切に脆弱性対策が実施されていればバイパスされることはありません。

マルウェアは次々に新しいアイデアで侵害を試みてきます。
それらを完全に回避し続けることは容易ではないと考えられます。
しかしその多くの危険はなんらかの脆弱性の悪用が関連している場合が多いといえます。
ユーザの誤操作を誘うような手法が混合されて実施されることも少なくありませんが、脆弱性の悪用は被害を増大させます。

やはり日々正しく運用していくことが重要といえそうです。

参考記事（外部リンク）：I see what you did there: A look at the CloudMensis macOS
spyware
www.welivesecurity.com/2022/07/19/i-see-what-you-did-there-look-cloudmensis-macos-spyware/