Kaspersky Lab、サイバー犯罪組織LazarusがmacOS向けマルウェアを使用し仮想通貨取引所を攻撃する「AppleJeus」を発見
[18/08/30]
提供元:PRTIMES
提供元:PRTIMES
Kaspersky Labのグローバル調査分析チーム(GReAT)※ は、悪名高いサイバー犯罪組織Lazarusによるとみられる新しい攻撃「AppleJeus(アップルジュース)」を発見しました。この攻撃では、トロイの木馬を仕込んだ仮想通貨取引ソフトウェアが用いられ、アジア地域の仮想通貨取引ネットワークに侵入し、仮想通貨の窃取を目論んだとみています。今回の調査では、Windows向けのマルウェアに加え、macOSを標的とする未知のマルウェアも見つかっています。
[本リリースは、2018年8月23日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
GReATのリサーチャーが、LazarusによるとみられるmacOSユーザーを標的としたマルウェアを確認したのは、今回が初めてです。今後、仮想通貨の取引をmacOSが搭載されたデバイスで行う場合も警戒が必要です。
リサーチャーは解析の結果、ある仮想通貨取引所の従業員が、仮想通貨取引ソフトを開発する企業の正規サイトを装ったWebサイトからアプリケーションをダウンロードしたことがきっかけで、同取引所のインフラへ侵入されたとみています。
このアプリケーションのコードで疑わしい部分は、アップデーターというコンポーネントのみでした。正規のソフトウェアでは、プログラムの新しいバージョンをダウンロードするときに使われますが、AppleJeusでは、このコンポーネントを偵察モジュールのように使用していました。具体的には、まずインストール先のコンピューターの基本情報を収集し、指令サーバーに送信します。そのコンピューターに価値があると攻撃者が判断すると、悪意あるコードがソフトウェアアップデートという形で送られてくる仕組みです。このアップデーターは、Lazarusが最近使用を再開したとみられる、古いトロイの木馬Fallchillをインストールします。インストール後は、攻撃者は標的のコンピューターへのほぼ無制限のアクセスを得ることになり、重要な財務情報の窃取や、窃取のための別のツールをインストールすることが可能になります。
AppleJeusの深刻さは、この悪意あるソフトウェアがWindows向けにもmacOS向けにも開発されていることに表れています。一般的に、macOSはサイバー攻撃に遭う割合がWindowsよりもはるかに少ないと考えられているからです。なお、どちらのプラットフォームのマルウェアも機能は同じです。
もう一つの特徴は、サプライチェーン攻撃のように見えて、実はそうではない可能性があることです。マルウェアを送り込むために使用された仮想通貨取引ソフトの開発企業には、そのソフトウェアの有効なデジタル認証とドメイン登録が存在していましたが、少なくとも公開されている情報からは、その認証情報の住所に正当な事業者が所在していることを特定できませんでした。
Kaspersky LabのGReAT APACの責任者であるヴィタリー・カムリュク(Vitaly Kamluk)は次のように述べています。「仮想通貨市場に対するLazarusの関心を示す兆候は2017年の初頭で、MoneroのマイニングソフトウェアがLazarusのサーバーの1つにインストールされた時でした。それ以降、一般的な金融機関に加え、仮想通貨取引所を標的にした攻撃が数度にわたり検知されるようになりました。Windowsだけでなく、macOSにも感染するマルウェアが開発されている事実に加え、セキュリティソリューションによる検知を避けるために全くの偽のソフトウェア企業とソフトウェア製品を作り上げている可能性が極めて高い点から、Lazarusがこのオペレーションで多大な利益を見込んでいることが容易に想像できます。私たちはこうした攻撃の増加に備えるべきであり、今回の発見を警鐘と受け取り、今後はMacを使用した仮想通貨取引にも注意を払うべきでしょう」
洗練されたオペレーションと北朝鮮との関係が疑われているLazarusは、サイバースパイ活動やサイバー破壊攻撃だけでなく、金銭目的の攻撃でも注目されています。これまでもKaspersky Labを含む多くのリサーチャーが、銀行や大手金融機関を標的とするこのグループについて調査結果を発表しています。
サイバー犯罪組織による高度な攻撃からご自身や組織を守るために、次のことを推奨します。
・自社システムで使用されているコードをやみくもに信用しない。たとえ正規に見えるWebサイトでも、企業の基礎情報がしっかり存在していても、デジタル認証があっても、そこにバックドアがないとは限らない。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。
・多額の金融取引を行っている場合は、マルチファクター認証やハードウェアウォレットを活用する。この目的においては、インターネット閲覧や電子メールに利用しない、スタンドアロンのコンピューターの使用が望ましい。
■ AppleJeusについて詳しくは、Securelistブログ「Operation AppleJeus:Lazarus hits cryptocurrency exchange with fake installer and macOS malware」(英語)をご覧ください。
https://securelist.com/operation-applejeus/87553/
■ Lazarusについて詳しくは、Securelistブログ「Lazarus Under The Hood」(英語)をご覧ください。
https://securelist.com/lazarus-under-the-hood/77908/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
[画像: https://prtimes.jp/i/11471/94/resize/d11471-94-190108-0.jpg ]
[本リリースは、2018年8月23日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
GReATのリサーチャーが、LazarusによるとみられるmacOSユーザーを標的としたマルウェアを確認したのは、今回が初めてです。今後、仮想通貨の取引をmacOSが搭載されたデバイスで行う場合も警戒が必要です。
リサーチャーは解析の結果、ある仮想通貨取引所の従業員が、仮想通貨取引ソフトを開発する企業の正規サイトを装ったWebサイトからアプリケーションをダウンロードしたことがきっかけで、同取引所のインフラへ侵入されたとみています。
このアプリケーションのコードで疑わしい部分は、アップデーターというコンポーネントのみでした。正規のソフトウェアでは、プログラムの新しいバージョンをダウンロードするときに使われますが、AppleJeusでは、このコンポーネントを偵察モジュールのように使用していました。具体的には、まずインストール先のコンピューターの基本情報を収集し、指令サーバーに送信します。そのコンピューターに価値があると攻撃者が判断すると、悪意あるコードがソフトウェアアップデートという形で送られてくる仕組みです。このアップデーターは、Lazarusが最近使用を再開したとみられる、古いトロイの木馬Fallchillをインストールします。インストール後は、攻撃者は標的のコンピューターへのほぼ無制限のアクセスを得ることになり、重要な財務情報の窃取や、窃取のための別のツールをインストールすることが可能になります。
AppleJeusの深刻さは、この悪意あるソフトウェアがWindows向けにもmacOS向けにも開発されていることに表れています。一般的に、macOSはサイバー攻撃に遭う割合がWindowsよりもはるかに少ないと考えられているからです。なお、どちらのプラットフォームのマルウェアも機能は同じです。
もう一つの特徴は、サプライチェーン攻撃のように見えて、実はそうではない可能性があることです。マルウェアを送り込むために使用された仮想通貨取引ソフトの開発企業には、そのソフトウェアの有効なデジタル認証とドメイン登録が存在していましたが、少なくとも公開されている情報からは、その認証情報の住所に正当な事業者が所在していることを特定できませんでした。
Kaspersky LabのGReAT APACの責任者であるヴィタリー・カムリュク(Vitaly Kamluk)は次のように述べています。「仮想通貨市場に対するLazarusの関心を示す兆候は2017年の初頭で、MoneroのマイニングソフトウェアがLazarusのサーバーの1つにインストールされた時でした。それ以降、一般的な金融機関に加え、仮想通貨取引所を標的にした攻撃が数度にわたり検知されるようになりました。Windowsだけでなく、macOSにも感染するマルウェアが開発されている事実に加え、セキュリティソリューションによる検知を避けるために全くの偽のソフトウェア企業とソフトウェア製品を作り上げている可能性が極めて高い点から、Lazarusがこのオペレーションで多大な利益を見込んでいることが容易に想像できます。私たちはこうした攻撃の増加に備えるべきであり、今回の発見を警鐘と受け取り、今後はMacを使用した仮想通貨取引にも注意を払うべきでしょう」
洗練されたオペレーションと北朝鮮との関係が疑われているLazarusは、サイバースパイ活動やサイバー破壊攻撃だけでなく、金銭目的の攻撃でも注目されています。これまでもKaspersky Labを含む多くのリサーチャーが、銀行や大手金融機関を標的とするこのグループについて調査結果を発表しています。
サイバー犯罪組織による高度な攻撃からご自身や組織を守るために、次のことを推奨します。
・自社システムで使用されているコードをやみくもに信用しない。たとえ正規に見えるWebサイトでも、企業の基礎情報がしっかり存在していても、デジタル認証があっても、そこにバックドアがないとは限らない。
・未知の脅威を特定できる、振る舞い検知技術を持つ堅牢なセキュリティソリューションを採用する。
・高度なサイバー犯罪者の戦術やテクニック、手法に関する最新情報を早期に得られるように、質の高い脅威インテリジェンスレポートサービスを購読する。
・多額の金融取引を行っている場合は、マルチファクター認証やハードウェアウォレットを活用する。この目的においては、インターネット閲覧や電子メールに利用しない、スタンドアロンのコンピューターの使用が望ましい。
■ AppleJeusについて詳しくは、Securelistブログ「Operation AppleJeus:Lazarus hits cryptocurrency exchange with fake installer and macOS malware」(英語)をご覧ください。
https://securelist.com/operation-applejeus/87553/
■ Lazarusについて詳しくは、Securelistブログ「Lazarus Under The Hood」(英語)をご覧ください。
https://securelist.com/lazarus-under-the-hood/77908/
※ Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky Lab について
Kaspersky Labは、IT上の脅威から世界を守る「Save the World from IT threats」をミッションとするITセキュリティソリューションベンダーです。1997年の設立以来、ITセキュリティ市場におけるテクノロジーリーダーとして、大企業から個人ユーザーまで幅広いお客様に効果的なセキュリティソリューションを提供しています。また、サイバー犯罪の撲滅を目指し、インターポールをはじめとする世界中の法執行機関に対して、脅威インテリジェンスの提供や捜査への協力を積極的に行っています。事業展開は200の国と地域にわたり、ユーザーは全世界で4億人を数えます。持ち株会社は英国で登記しています。
[画像: https://prtimes.jp/i/11471/94/resize/d11471-94-190108-0.jpg ]