トレンドマイクロでは、2016年以降、拡散されている情報窃取を行うマルウェア「FormBook」の最新バージョンを使用した新たな攻撃を検出しました。過去数年、macOSの拡張サポートを始め、FormBookに関する複数の解析結果が公表されています。FormBookは高度に難読化されたペイロードであり、文書ファイルの脆弱性を悪用していることでよく知られています。最近までFormBookの攻撃では、CVE- 2017-0199が利用されていましたが、新たなFormBookの亜種は、最新のOffice365ゼロデイ脆弱性(CVE-2021-40444)を利用しています。
続きを読むリモートアクセストロジャン(RAT)である「NukeSped」のサンプルの調査中、トレンドマイクロは、NukeSpedに散見されるものと同一のファイルレスルーチンを使用している「Bundlore」アドウェアのサンプルを複数検出しました。
RATであるNukeSpedを拡散させているのは標的型の攻撃者であるLazarusとされています。Lazarusは2014年以降、活発に攻撃を展開しています。NukeSpedの亜種は複数確認されており、多くは32ビットシステム上で稼働するように設計されています。検出回避を狙う活動として、暗号化された文字列を使用しています。最近では、Lazarusによるサイバー諜報活動の一環として、NukeSpedをより複雑化した「ThreatNeedle」と呼ばれるRATも出現しています。次に、Bundloreは、正規アプリのダウンロードを偽装し、ターゲットのデバイスにアドウェアをインストールするマルウェアファミリーです。本サンプル中から検出した、暗号化されたMach-Oファイル(macOSでの実行可能形式ファイル)は、Bundloreアドウェアのステルス活動をメモリに内在する脅威、つまりファイルレス活動へとアップグレードしていました。また、BundloreはmacOS向けのアドウェアであり、昨年は当時の最新バージョンであるmacOS Catalinaでの攻撃が確認されていました。
続きを読むトレンドマイクロは、「Core Virtual Machine Server (CVMServer) 」に存在するmacOSの脆弱性を確認しました。「CVE-2021-30724」が割り当てられた当該脆弱性は、整数オーバーフローにより境界を超えるメモリアクセスを発生させ、そこから特権昇格が可能となるものです。この問題は古いバージョンのmacOS Big Sur 11.4、iOS 14.6、およびiPadOS 14.6が動作するデバイスに影響します。
この脆弱性はすでにApple社によって修正済みとなっています。本記事では、この脆弱性が確認された経緯や、脆弱性が誘発される条件について説明します。
続きを読むトレンドマイクロでは最近、サイバー犯罪集団「OceanLotus」に関連すると考えられる新しいバックドア型マルウェアを発見しました。今回新亜種に備わった追加機能の一部(トレンドマイクロでは「Backdoor.MacOS.OCEANLOTUS.F」として検出)には、新しい動作およびドメイン名が含まれています。本記事執筆時点では、本検体は他のマルウェア対策ソフトでは未検出となっています。
今回確認された検体は、動的な動作およびコードの類似性により、以前確認された検体の亜種であることが判明しました。
図1:以前確認されたOceanLotusの不正コード (さらに…)
続きを読むワンタイムパスワード(OTP)とは、あるユーザに一定時間で変更される一回のみ利用可能なパスワードを通知することによって、オンラインサービスのセキュリティを高めるための仕組みです。多くの法人ネットワークでは、サードパーティのプロバイダによって提供されるOTPのシステムを利用し、アカウントの侵害によりシステムへ不正侵入されることを防ぐ追加の認証として使用しています。
トレンドマイクロは、2020年4月、macOS向けの正規OTP認証アプリを偽装した「TinkaOTP」というアプリを確認しました。調査の結果、この不正アプリは「DACLS(ダクルス)」と呼ばれる遠隔操作ツール(RAT)に酷似していることがわかりました。DACLSは、2019年12月にセキュリティ企業「360 Netlab」によって報告された、WindowsおよびLinuxをターゲットとするバックドア型マルウェアです。この報告によれば、不正アプリが接続するコマンドアンドコントロール(C&C)サーバが通信に使用する文字列から、サイバー犯罪集団「Lazarus」との繋がりが示唆されています。 (さらに…)
続きを読む現在、ほとんどのマルウェアはWindows OS環境を狙ったものです。このため、LinuxやmacOSなど、Windows以外のOSは安全だというイメージを持たれている方も多いかもしれません。しかし実際には、サイバー犯罪者は金銭利益を得られるのであれば攻撃対象を選びません。自身の利益が期待できる攻撃手法をサイバー犯罪者が見出した場合には、Windows以外の環境も危険にさらされることになります。今回トレンドマイクロでは、macOS向け取引ソフト「Stockfolio」を偽装する攻撃を確認しました。
(さらに…)
トレンドマイクロは、macOSで同一領域のメモリが二重に解放される「ダブルフリー」の脆弱性を発見しました。この脆弱性には共通脆弱性識別子「CVE-2019-8635」が割り当てられています。CVE-2019-8635は、AMD製GPU「Radeon」のコンポーネントにおけるメモリ破壊に起因します。攻撃者がこの脆弱性の利用に成功すると、権限を昇格し、ルート権限で不正なコードを実行可能です。弊社の情報公開を受けAppleは修正プログラムを公開しました。
続きを読むトレンドマイクロは、2017年 4月初旬、システムツール「fsck_msdos」に存在する脆弱性「CVE-2017-13811」を確認し、Apple に通告しました。この脆弱性の影響を受けるオペレーションシステム(OS)は、以下の通りとなります。
- macOS Sierra 10.12.6
- OS X El Capitan 10.11.6
同社は、10月31日、この脆弱性に対応するセキュリティ更新プログラムを公開しました。脆弱性を抱えたシステムツール「fsck_msdos」は、リムーバブルドライブや小容量メモリーカードのファイルシステムとして使われている「File Allocation Table(FAT)」でフォーマットされた端末のエラーを確認し修正するツールで、USBドライブや SDカードといったリムーバブルドライブを挿入すると、macOS により自動的に起動されます。
続きを読む