macOSにNokNok

ここのところ、Windowsをターゲットとした攻撃でLNKファイルが攻撃チェーンの中で使われるケースが増えています。
そういった活動をしている脅威アクターの一つに、TA453があります。
このLNKファイルはWindows環境で利用できるいわゆるショートカットファイルで、この仕組みの中の機能を悪用することで攻撃を成り立たせるものとなっています。
TA453もこのLNKファイルを悪用した攻撃で一定の活動を実施していました。
しかしこのTA453は、そこに留まっていませんでした。
LNKファイルを使用した攻撃ではWindowsのみが活動領域となるのですが、macOSにも攻撃の領域が広げられてきています。
TA453のmacOS向けの活動の様子は次の通りです。

• 被害者にメールする
  初期経路はこの場合もメールです。
  メールで始まる脅威はいまでも多いです。

   

• メールにファイルを添付する
  これも良くある手口です。
  ファイルが添付されています。
  添付ファイルはパスワード保護されたZIPファイルです。

   

• ZIPの中身はマルウェアローダー
  実行形式のファイルが入っています。
  対象環境がmacOSですので、macOSで実行が可能なMach-Oバイナリです。
  メールの文面でこのバイナリはVPNのクライアントソフトだということになっています。
  メール受信者はこれを実行します。

   

• バイナリはマルウェアを持ってくる
  マルウェアローダーはマルウェアを持ってきます。
  起動されたローダーはmacOS環境で利用できるスクリプトを実行します。
  スクリプトの中でcurlが起動され、ファイルがダウンロードされます。
  ファイルはバックドア機能を持つNokNokです。

   

• NokNokは仕事する
  起動されたNokNokは無限ループします。
  感染環境の固有識別子を生成し、これを暗号化した内容をC2にHTTP POSTします。
  C2からはコマンドが回答されます。
  確認されているコマンドは、終了、プロセス一覧確認、ネットワークの設定収集、アプリ情報収集、などです。
  他にもコマンドはあるようですが観測時点では機能しないものでした。

Windows向けのマルウェアやAndroid向けの攻撃など、非常に多いです。
しかしそれ以外の環境を想定した脅威が少ないわけではなく、macOS向けの攻撃も増加しています。

注意して注意しすぎるということはなさそうです。

参考記事（外部リンク）：イランAPT「TA453：Charming Kitten」によるLNKとMacマルウェアへの進出
www.proofpoint.com/jp/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware