脅威アクターによるmacOSへの攻撃が増加

Intel471 の新しいレポートによると、macOS は、このオペレーティングシステム専用のマルウェアを開発したり、クロスプラットフォーム言語を使用して macOS コンピューターで目的を達成しようとする脅威アクターの標的になることが増えていることが明らかになりました。

macOSの脆弱性もさらに多く悪用されています。マルウェアやエクスプロイトは、サイバー犯罪とサイバースパイ活動の両方に利用される可能性があります。

macOSにこれまで以上に多くのマルウェア

研究者らは、2023年1月から2024年7月の間に、さまざまな種類のマルウェアを使ってmacOSシステムを標的とする40以上の脅威アクターを観察しました。最も多かったのはインフォスティーラーとトロイの木馬です。

インフォスティーラー

情報窃盗マルウェア (別名インフォスティーラー) はますます開発され、あらゆるオペレーティングシステム上に導入されるようになっていますが、macOS も例外ではありません。

クラウドセキュリティ企業Uptycsによると、インフォスティーラー関連のインシデントは、2022年の同時期と比較して2023年第1四半期に2倍に増加しました。サイバーセキュリティ企業Group-IBも、macOSインフォスティーラーに関連する闇販売が5倍に増加したと報告しています。

このようなソフトウェアは、サイバー犯罪者がログイン認証情報、認証情報なしで認証を可能にするセッションCookie、クレジットカード情報や暗号通貨ウォレットなどのデータを盗むために利用されます。また、初期アクセス・ブローカーによっても広く利用されており、彼らは有効な認証情報を（多くの場合、個人ではなく企業から）収集し、他のサイバー犯罪者に販売しています。

Atomic Stealer（Atomic macOS StealerまたはAMOSとも呼ばれる）は、2023年以降最も人気のあるmacOSインフォスティーラーの1つです。macOSデバイスやブラウザから認証情報や暗号通貨ウォレットのデータを盗むように設計されています。

Atomic Stealer マルウェアのログファイルの構造。 — Atomic Stealerマルウェアのログファイルの構造。画像: Intel471

しかし、macOSを標的とする他のインフォスティーラーを運営または宣伝しているサイバー犯罪者は複数存在します。codehexというニックネームを持つ脅威アクターは、ShadowVaultと呼ばれるmacOSインフォスティーラーの宣伝を行っていました。このマルウェアは、Chromeベースの様々なブラウザ、侵入したコンピュータに保存されているファイル、そして暗号通貨ウォレットからデータを盗むことができます。

マルウェア運営者は、Apple開発者署名で署名することで、セキュリティソフトウェアによる検出を困難にすることもできました。このマルウェアは、MaaS（マルウェア・アズ・ア・サービス）というビジネスモデルを通じて、月額500ドルで販売されていました。

さらに高価なインフォスティーラーであるQuark Labは、システムからキーチェーンのパスワードや暗号通貨ウォレット、一般的なブラウザ情報を盗む機能を備えており、月額3,000ドルで販売されていた。

トロイの木馬

リモートアクセス型トロイの木馬は、macOS 上でますます多く導入されているマルウェアのもう 1 つの一般的なカテゴリです。

RUST で開発され、ランサムウェアの脅威アクターと関連している可能性のある macOS マルウェアである RustDoor は、コントローラーにいくつかの機能を提供します。

リモートコマンドを実行します。
侵害されたシステム上のファイルを操作します。
ペイロードをさらに追加します。
システム情報を収集します。

そのため、Rustはサイバースパイ活動とサイバー犯罪の両方の脅威アクターにとって、他に類を見ないツールとなっています。Rustプログラミング言語は、クロスプラットフォーム言語であり、開発者があらゆるオペレーティングシステムにコードを容易に移植できるため、マルウェア開発者の間で人気が高まっています。

ランサムウェア

Intel471 が書いたように、「macOS ランサムウェアの出現は、脅威アクターが Apple ユーザーを侵害するための新しい手段を模索していることを示しており、懸念を引き起こしています。」

2023 年 4 月、セキュリティ研究者は、Apple Silicon 上で実行される新しい macOS システムを含む macOS デバイスを標的とした悪名高い LockBit ランサムウェアの新しい暗号化ツールを発見しました。

2023年後半には、Turtleと呼ばれる、より高度な技術を持たない別のランサムウェアが登場しました。これもまた、クロスプラットフォームのプログラミング言語であるGolang（別名Go）で開発されました。このマルウェアはアドホック署名のみで、公証は行われていなかったため、Gatekeeperによって検出可能でした。これは、セキュリティ専門家のパトリック・ウォードル氏が解説しています。

悪用された脆弱性

パッチ管理ソフトウェア企業Action1によると、2023年に悪用されたmacOSの脆弱性の数は30%以上増加した。

さらに、Intel471は、2020年3月から2024年7月にかけて、macOSの複数のバージョンに影響を与える脆弱性を69件発見しました。そのうち10件以上が高リスクレベルに分類されています。これらの脆弱性の一部は、サイバースパイ活動を行う脅威アクターによって悪用されています。

macOS の複数のバージョンを標的とした未特定の脆弱性である CVE-2023-41993 が悪用され、世界中の複数の国家支援組織に販売された Cytrox の Predator スパイウェアがインストールされました。

脅威アクターは、バッファオーバーフローの脆弱性であるCVE-2023-41064も悪用しました。サイバースパイ活動を行う脅威アクターは、スパイウェアを国家支援組織に販売していました。

oDmC3oJrrSuZLhpというニックネームのサイバー犯罪者が、攻撃者が標的のシステムで任意のコードを実行できるようにする脆弱性CVE-2022-32893のエクスプロイトを地下フォーラムで270万ドルで販売すると申し出た。

国家支援の脅威アクター

さまざまなスパイウェアプロバイダーが国家支援の脅威アクターにサービスを販売していますが、これらの脅威アクターの中には macOS を狙ったマルウェアやツールを開発している者もいます。

たとえば、北朝鮮の脅威アクター BlueNoroff は、macOS 向けに開発され、暗号通貨関連の活動を行う金融機関を標的とする RustBucket と呼ばれる悪意のあるローダーを開発しました。

このグループはまた、暗号通貨資産を保有する個人を標的としており、最終的な目標は標的のウォレットから暗号通貨をすべて盗むことです。

ロシアの脅威アクターであるロシア軍参謀本部に所属するAPT28とロシア対外情報局に所属するAPT29も、macOSマルウェアを使用しています。

APT28が使用したモジュラーバックドア「XAgent」は長年存在しており、macOS版も含まれていたため、侵害したmacOSシステムからメッセージ、連絡先、ボイスメール、通話履歴、メモ、カレンダーなどのiOSバックアップを含むデータを窃取することが可能でした。APT29は、サポートが終了したクロスプラットフォームのリモート管理およびエクスプロイト後の処理フレームワーク「Empire」を使用し、macOSを標的としていました。

ベトナムを拠点とする脅威アクターAPT32も、さまざまな組織を標的とするために使用されるmacOSバックドアを展開しました。