侵入されたMacを攻撃する、新たに発見されたCloudMensisマルウェア

By XkeyacwpmTips0 comments

Contents

  1. Introduction
  2. Main Content
  3. Discussion
  4. Conclusion
侵入されたMacを攻撃する、新たに発見されたCloudMensisマルウェア

2分で読めます
| ニュース

CloudMensisマルウェア2022年7月特集

サイバーセキュリティ企業 ESET のレポートによると、クラウド ストレージを利用してエクスプロイトを実行する CloudMensis という新しいマルウェアが登場しています。

残念ながら、新たに発見されたMac向けマルウェア「CloudMensis」が広まっています。本日の報道によると、サイバーセキュリティ研究者が、これまで知られていなかったmacOSのバックドアを発見しました。このバックドアは、侵入されたMacのユーザーをスパイする機能を備えています。

サイバーセキュリティ企業ESETによって発見されたこのマルウェアは、クラウドストレージサービスの利用方法から「CloudMensis」と名付けられました。同社は2022年2月4日に最初のMacが侵害されたことを発見しました。

CloudMensisマルウェアがクラウドストレージ経由でMacを攻撃

CloudMensisは、パブリッククラウドストレージサービスを利用して攻撃者と通信します。ESETのレポートによると、攻撃者の目的は、Macの被害者から文書やキーストロークを抜き出し、電子メールメッセージや添付ファイルをリスト化し、リムーバブルストレージやスクリーンキャプチャからファイルをリスト化することで情報を収集することです。

ESETの研究員であるマルク・エティエンヌ・ルヴェイユ氏は、運営者はMacの開発について十分な理解を持っていない可能性があると考えている。

レヴェイユ氏は声明で次のように述べた。

CloudMensisが当初どのように配布され、誰が標的となったのかは、まだ分かっていません。コードの全体的な品質と難読化の欠如から、作者はMac開発に精通しておらず、それほど高度な知識を持っていない可能性があります。それでも、CloudMensisを強力なスパイツールにし、潜在的な標的にとって脅威とするために、多くのリソースが投入されました。

CloudMensisの拡散は今のところ限定的であるため、このマルウェアは標的型攻撃である可能性も示唆されています。ESETによると、このマルウェアファミリーの運営者は、関心のある特定の標的に対してCloudMensisを利用しています。

攻撃者はmacOSの脆弱性を利用して緩和策を回避することができます。しかし、調査によると、このグループは現在ゼロデイ脆弱性を利用していないことが示唆されています。つまり、Macを最新の状態に保つことで、少なくとも緩和策の回避は可能だということです。

CloudMensisの仕組み

CloudMensisは、コード実行と管理者権限の取得を狙っています。この目的を達成するために、クラウドストレージサービスを利用して第2段階のマルウェアからより多くの機能を取得する第1段階のマルウェアを実行します。

クラウドメンシスマルウェアインテキスト2022年7月
CloudMensis がクラウド ストレージ サービスを利用して攻撃を実行する仕組みを示した図。(写真提供: ESET Research )

クラウドストレージサービスには、pCloud、Yandex Disk、Dropboxなどがあります。CloudMensisは、オペレーターからのコマンドを受信し、ファイルを盗み出すためにクラウドストレージを利用します。

マルウェアが第2段階に到達できれば、さらに多くのことが実行可能になります。この段階では合計39個のコマンドが待機しており、すべては侵入したMacから可能な限り多くの情報を収集することを目的としています。調査によると、攻撃者はこの段階でドキュメント、スクリーンショット、メールの添付ファイル、その他の機密データを盗み出そうとしているようです。

Appleがロックダウンに突入

これは、Appleが最近iOS 16、iPadOS 16、macOS Ventura向けにロックダウンモードを導入したのと同時期に発表されたものです。ロックダウンモードは、標的型デジタルセキュリティの脅威に直面している人々のための、強力かつオプション的な保護機能です。

ロックダウンモードが有効になると、Appleはメッセージアプリの添付ファイルをブロックし、ウェブ閲覧中にいくつかの機能をオフにし、招待状やサービスリクエストの受信をブロックします。例えば、ユーザーが以前に他のユーザーに通話やリクエストを送信していない場合、FaceTime通話はブロックされます。

さらに、電話をロックすると有線接続がブロックされ、構成プロファイルをインストールできなくなります。また、モバイルデバイス管理への登録もできなくなります。

Appleは今後さらに多くの機能を追加する予定だと述べています。また、クパチーノはセキュリティ機能の強化を支援するために、Apple Security Bountyプログラムも開始しています。

最近、タイでペガサスが複数の抗議者を攻撃したというニュースが報じられましたが、Appleがユーザー保護のためにかなり極端な措置を講じているのは喜ばしいことです。CloudMensisに関しては、これがランダムな攻撃なのか、特定の標的を狙ったものなのかはまだ分かりません。

いつものように、デバイスを最大限に保護するために、デバイスで最新のソフトウェアが実行されていることを確認してください。

Knowledge Network

Worth Exploring