概要
新しい高度な持続的脅威(APT)キャンペーンであるRU-APT-ChainReaver-Lが、信頼できるファイルホスティングサイトや長年のGitHubアカウントをハイジャックし、Windows、macOS、iOSユーザーに対して大規模にステルス型マルウェアを配布しています。このキャンペーンは、Mirrorace.orgなどの人気のあるミラーサイトやファイル配布ポータルのコードを改ざんすることで、正当なダウンロードを探している訪問者が攻撃者管理下にあるリダイレクトチェーンを通じて静かに導かれます。
Windowsユーザーへの影響
Windowsユーザーは、MediaFireやDropboxなどの一般的なクラウドストレージプラットフォームでホストされているマルウェア付きのアーカイブにリダイレクトされます。これらのファイルは通常、「VirtualBox-6.1.10」や「Free Download Files.rar」といったインストーラーまたはソフトウェアバンドルとしてパッケージ化されています。
macOSユーザーへの影響
macOSユーザーには高度な「ClickFix」ソーシャルエンジニアリングページが表示され、ユーザーに単一のターミナルコマンドをコピーして実行するよう指示します。これによりマルウェアが複数段階で配布され、インメモリ内で情報窃取型マルウェアが実行されます。
iOSユーザーへの影響
攻撃者はiOSユーザーをVPNアプリのApp Storeリストに導き、インストール後にはフィッシングフローと悪意のあるポップアップが表示されるようにします。このインフラはGitHubにも拡大し、少なくとも50以上の年齢や信頼性が高いユーザーアカウントが乗っ取られ、マルウェア付きのリポジトリとして再利用されています。
攻撃の技術的詳細
Windows向けのマルウェアは強力な情報窃取型で、ブラウザ資格情報やメッセンジャーデータベース、暗号通貨ウォレットなどの情報を収集し、HTTP経由で攻撃者のサーバーにエクスフィルトレーションします。macOS向けのツールはMacSyncと呼ばれるステラーファミリーを含み、ブラウザデータやApple Notes、SSHおよびクラウドキーなどを標的とし、LedgerやTrezorウォレットアプリをトロイ化して回復シードをキャプチャしたり、暗号資金を奪い取ったりします。
防御策
このキャンペーンに関連する100以上のドメインが存在し、インフラストラクチャやペイロードは頻繁に更新されています。組織はユーザー側の供給チェーンベクトルをソフトウェア供給チェーンリスクと同様に取り扱うべきです。
- 拡張検出および応答(XDR)
- ファイル転送の厳格な監視
- 信頼性が低いダウンロードのフィルタリングまたは隔離
- 「人間確認」、ターミナルワンライナーインストール、または過度に良い話題のアクティベーションツールキットに関する継続的なユーザー教育