Last Updated on 2024-06-04 06:34 by 荒木 啓介
Operation TriangulationはiOSマルウェアプラットフォームで、ゼロクリックのiMessage攻撃を通じて配布され、CVE-2023-38606の脆弱性を悪用してiOSデバイスのファイル閲覧・変更、パスワードや資格情報の取得、ジオロケーション情報の取得、追加モジュールの実行が可能であった。攻撃者はAppleのSoCsのハードウェア機能を利用してセキュリティ保護をバイパスし、ハードウェアレジスタにデータを書き込むことで攻撃を実現した。
iOSマルウェアの検出方法には、暗号化されたフルiOSバックアップの調査やデバイスのネットワークトラフィック分析があるが、これらは時間がかかり専門知識を要する。リサーチャーはshutdown.logに感染の痕跡が残ることを発見し、このログはsysdiagnoseアーカイブに保存されている。sysdiagの解析は、iPhone感染の検出方法として最小限の侵入的でリソースを軽減する。
DinodasRATはC++で書かれたマルチプラットフォームのバックドアで、Red HatベースとUbuntu Linuxをターゲットにしており、中国本土、台湾、トルコ、ウズベキスタンで影響があった。
新しいmacOSバックドアは、クラックされたアプリケーションを介して配布され、暗号財布を盗むために使用されている。攻撃者はPythonスクリプトをDNSサーバーのドメインTXTレコードに配置する手法を使用している。
Coyoteバンキングトロイは60以上の銀行機関の顧客をターゲットにし、Squirrelを使用してWindowsデスクトップアプリケーションのインストールと更新に利用されている。Coyoteの感染チェーンは他のバンキングトロイとは異なる高度な技術を使用している。
サイバー攻撃者はQEMUを使用してネットワークトンネリングを行い、検出システムを回避し、開発コストを最小限に抑える。QEMUは仮想マシン間の接続をサポートし、内部システムへのアクセスに利用された。
【ニュース解説】
2024年第1四半期のマルウェアレポートでは、iOSデバイスを狙った未知のマルウェアプラットフォーム「Operation Triangulation」や、LinuxおよびmacOSをターゲットにした新たなマルウェア、さらには銀行トロイの木馬「Coyote」や、正規のツールを悪用したネットワークトンネリングなど、様々なサイバー攻撃の手法が報告されました。
Operation Triangulationは、ゼロクリックのiMessage攻撃を通じて配布されるiOSマルウェアで、特定の脆弱性を悪用してデバイスのファイルを閲覧・変更したり、パスワードや資格情報を取得することが可能です。この攻撃では、AppleのSoCs(システム・オン・チップ)の未知のハードウェア機能を利用して、ハードウェアベースのセキュリティ保護を回避しました。この事例は、デバイスのハードウェアレベルでのセキュリティ対策が、どのようにして突破され得るかを示しています。
iOSマルウェアの検出に関しては、従来の方法では時間がかかり専門知識が必要でしたが、shutdown.logというシステムログファイルに感染の痕跡が残ることが発見されました。この方法は、より迅速かつ簡単にiPhoneの感染を特定する手段として有効です。
DinodasRATは、Linuxデバイスを狙ったマルチプラットフォームのバックドアで、特にRed HatベースとUbuntu Linuxがターゲットにされています。このマルウェアは、感染したマシンを完全に制御下に置き、機密データの収集やスパイ活動を可能にします。
macOSにおいては、クラックされたアプリケーションを介して配布される新しいバックドアが発見されました。このバックドアは、特に暗号財布を狙っており、攻撃者は巧妙な手法を用いてマルウェアを配布しています。
Coyoteは、60以上の銀行機関の顧客をターゲットにした多段階のバンキングトロイの木馬です。このマルウェアは、Squirrelという比較的新しいツールを使用して配布され、感染チェーンにおいて高度な技術を駆使しています。
また、サイバー攻撃者はQEMUという正規のハードウェアエミュレータを利用してネットワークトンネリングを行い、検出システムを回避する手法を用いました。このように、攻撃者は正規のツールを悪用することで、攻撃の複雑さを増しています。
これらの報告は、サイバーセキュリティの分野における攻撃手法の進化と、それに対抗するための新たな検出手法の必要性を浮き彫りにしています。また、正規のツールが悪用される事例は、セキュリティ対策においてはソフトウェアの正当性だけでなく、その使用方法にも注意を払う必要があることを示唆しています。サイバーセキュリティの専門家は、これらの進化する脅威に対応するために、常に最新の知識と技術を身につけることが求められます。
