Menu

セキュリティ速報:Mosyle、非伝統的な言語で書かれた新たなマルウェアローダーを発見 [独占]c

  • Yogkey
  • iuoxkd
  • 0 comments
セキュリティ速報:Mosyle、非伝統的な言語で書かれた新たなマルウェアローダーを発見 [独占]c
Appleのセキュリティリリースページ

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください

今週のSecurity Bite特別版では、Appleデバイス管理とセキュリティのリーダーであるMosyleが、9to5Macに対し、新たなMacマルウェアローダーファミリーの詳細を独占公開しました。Mosyleのセキュリティ研究チームは、これらの新たな脅威が非伝統的なプログラミング言語で記述されており、検出を回避するために複数の巧妙な手法を用いていることを発見しました。

マルウェアローダーは、サイバー犯罪者にとって基本的に「足がかり」となるものです。その主な目的は、システムに密かに侵入し、より有害なマルウェアをアップロードするための経路を確保することです。

今月初めに発見された新たなローダーサンプルは、Nim、Crystal、Rustといった、マルウェア開発では通常用いられないプログラミング言語を用いて開発されていました。Objective-C、C++、Bashが最も一般的です。この異例のアプローチは、攻撃者が従来のウイルス対策による検出方法を意図的に回避しようとしていることを示唆しています。

このアプローチはステルス性に優れていますが、広く普及するかどうかは疑問です。NimやRustといったあまり一般的ではないプログラミング言語を使うのは、サイバー犯罪者にとって容易ではありません。これらの言語は、CやBashといった実績のある言語よりもコンパイルプロセスが複雑で、既製のライブラリやツールも少ないからです。学習曲線が急峻でデバッグも難しいため、犯罪者がうっかりデジタルパンくずを残してしまい、マルウェアが露呈してしまう可能性が高くなります。結局のところ、サイバー犯罪者でさえもコードがスムーズに動作することを望んでいます。そして今、これらの実験的な言語はそれをはるかに困難にしているのです。

観察された他の回避戦術:

  • macOSのlaunchctlメカニズムによる永続化
  • 数時間の睡眠間隔
  • データを送信する前にディレクトリをチェックする

Mosyleの調査によると、このマルウェア攻撃はまだ初期段階にあり、偵察活動に重点を置いている可能性がある。テレメトリデータによると、サンプルはブルガリアと米国のシステムから発信されたことが示唆されている。

最も懸念されるのは、サンプルが最初に発見されてから数日間、VirusTotal によって検出されなかったことです。

以下は、3 つのマルウェア サンプルのハッシュと、それに対応するコマンド アンド コントロール (C2) ドメインです。

ニム・サンプル

C2ドメイン: strawberriesandmangos[.]com

ハッシュ: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07

結晶サンプル

C2ドメイン: motocyclesincyprus[.]com

ハッシュ: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702

錆サンプル

C2ドメイン: airconditionersontop[.]com

ハッシュ: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066

Mosyleのセキュリティチームは、これらの脅威を積極的に監視・調査し続けています。新たな情報が入り次第、ここで最新情報をお伝えします。[.]は、ドメインがクリックされるのを防ぐためのものです。Moysleチームによると、これらのC2サーバーは依然としてアクティブである可能性があるとのことです。

続き: 2024年第3四半期にランサムウェアグループが急増、優位性が変化

Follow Arin: Twitter/X, LinkedIn, Threads

yogkey.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。