Kaspersky Labの研究者はAppleコンピューターを狙った別の悪意のあるプログラムを発見しており、Flashfakeに続くAPT攻撃(Advanced Persistent Threat)の1つであることが確認されました。
本リリースは、2012 年 4 月 16 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
70万台を超えるMacコンピューターのボットネットを形成した悪名高い トロイの木馬“Flashfake” は、Mac OS X環境における脆弱性を攻撃した最も有名な例だと言えるかもしれませんが、問題はFlashfakeだけではありません。Kaspersky Labの研究者はAppleコンピューターを狙った別の悪意のあるプログラムを発見しており、Flashfakeに続くAPT攻撃(Advanced Persistent Threat)の1つであることが確認されました。保護されていないMac OS環境が理論的に危険であることを示したFlashfakeとは異なり、Backdoor.OSX.SabPubと呼ばれるこの新手のマルウェアは、脆弱性を残したAppleコンピューターがサイバー犯罪によって完全にコントロールされる可能性を具体的に示しています。
この新しいバックドアは2012年4月初旬に発見されました。Flashfakeと同様に、このバックドアはJava仮想マシンのある脆弱性を利用しています。このマルウェアに感染したユーザーの数は比較的少数ですが、これは、このバックドアが標的型攻撃で使用されていることも示唆しています。感染したシステムが起動すると、コマンドをもらうために外部のWebサイトに接続します。コマンド & コントロールサーバーは米国内に設置され、感染したコンピューターのリクエストを送るために無料ダイナミックDNSサービスが使用されています。
続いて起こった出来事によって、SabPubが標的型攻撃の一部であることが分かりました。Kaspersky Labのエキスパートは、バックドアに感染した偽の被害マシンをセットアップしたところ、4月15日にいくつか異常な動きが確認されました。攻撃者は感染したシステムのコントロール権を奪取し、システムの解析をはじめました。彼らは、ルートおよびホームフォルダーの内容を見るためにコマンドを送信し、さらにはシステム内に格納された偽の文書のダウンロードも行いました。この解析は自動化されたシステムではなく、マニュアルで行われた可能性が高く、この点は広範囲の「マスマーケット」を狙ったマルウェアとは異なるところです。そのため、このバックドアはAPT攻撃の活発な使用例の1つだと結論付けることができます。
バックドアの解析によって、標的型攻撃の感染ベクトルについて、より詳しい情報を得ることができました。Kaspersky Labの研究者は、エクスプロイトを含んだ6つのMicrosoft Word文書を発見しました。そのうち2つはSabPubペイロードがありません。脆弱性のあるシステム上で他の4つの文書を開こうとすると、別のMac固有のマルウェアに感染してしまいます。SabPub関連文書の1つの内容はチベット人コミュニティに直接的な言及をしたものでした。その一方で、LuckyCatとして知られるWindowsベースのマシンに対する他の標的型攻撃とSabPubとの明確な関係性は、同じ起源の多様かつ広範囲な犯罪活動を指し示しています。
Kaspersky Labのチーフセキュリティエキスパートであるアレクサンダー・ゴスチェフ (Alexander Gostev)は次のようにコメントしています。「SabPubバックドアは、難攻不落なシングルソフトウェア環境など無いことを証明しています。Mac OS Xを狙ったマルウェア数が比較的少ないことは、より優れたプロテクションを意味するものではありません。FlashfakeやSabPubのような最近の事件は、保護されていないMacユーザーの個人的なデータが危険にさらされていることを示しています。これは、サイバー犯罪者たちがMacのマーケットシェアが上がっていることを理解しているか、Appleコンピューターを攻撃する作業を直接請け負っているか、どちらかによるものです。
Backdoor.OSX.SabPubマルウェアは、関連するエクスプロイトと共に、Kaspersky Anti-Virus 2011 for Macによって検知・修復されます。このバックドアの詳細については、下記のサイトでご確認いただけます。
http://www.securelist.com/en/blog/208193467/SabPub_Mac_OS_X_Backdoor_Java_Exploits_Targeted_Attacks_and_Possible_APT_link
http://www.securelist.com/en/blog/208193470/New_Version_of_OSX_SabPub_Confirmed_Mac_APT_attacks
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を
http://www.viruslistjp.com/
にて提供しています。
