Kaspersky、APTグループ「WildPressure」の攻撃活動を調査中に、macOSにも感染するマルチプラットフォームマルウェアを確認

[本リリースは、2021年7月7日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT（高度サイバー攻撃）グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査しています。この攻撃グループが産業分野を対象にしたとみられる直近のある攻撃を分析したところ、異なるプログラミング言語で書かれた新しいバージョンの「Milum」を複数発見しました。そのうちの一つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明しました。マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。なお、WildPressureマルウェアのリバースエンジニアリング方法は、ビデオ（英語）「 Reversing in action: New WildPressure targets macOS」でご覧いただけます。

脅威を検出する時は、一つの小さな手掛かりから多くの発見に至ることがありますが、今回も例外ではありません。多くの攻撃では、攻撃対象のデバイスをトロイの木馬に感染させた後、攻撃者のサーバーに対して感染デバイスの情報、ネットワーク設定、ユーザー名などが含まれるビーコンを送信します。攻撃者はその情報を基に、感染したデバイスに何らかの価値があるかどうかを判断します。しかし、Milumの場合は、その開発時のプログラミング言語に関する情報も送信されていました。
当社のリサーチャーが2020年に初めて当攻撃を調査した際、このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察していましたが、このたび、この仮説が裏付けられました。

2021年春、当社はWildPressureによる新たな攻撃を観測しました。この攻撃では、Milumマルウェアの新たなバージョンのセットが使用されており、発見したファイルにはプログラミング言語C++で書かれたMilumトロイの木馬と、そのVisual Basic Script（VBScript）版の亜種が含まれていました。さらにこの攻撃を調査した結果、Pythonで書かれた別マルウェアが見つかり、WindowsとmacOS両方のオペレーティングシステムを標的として開発されていることが分かりました。
これらの三つのバージョンのトロイの木馬は、攻撃者からの指令コマンドをダウンロードして感染デバイスで実行し、デバイスの情報を収集し、自らを新しいバージョンにアップグレードするようになっていました。

マルチプラットフォームマルウェアでmacOSデバイスに感染できるものはまれです。Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれていました。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていました。このマルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を行います。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていました。

Kaspersky グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ（Denis Legezo）は、次のように述べています。「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムを持っています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」

・WildPressureの詳細やIOC（侵害の痕跡）は、Securelistブログ（英語）「WildPressure targets the macOS platform」でご覧いただけます。