はじめに:macOSマルウェアの新脅威
セキュリティ研究者たちは、新たなmacOSマルウェアキャンペーンを発見しました。このキャンペーンでは、脅威アクターが拡張検証(EV)コード署名証明書を悪用し、完全に検出不能(FUD)なディスクイメージ(DMG)ペイロードを配布しています。EV証明書の悪用はこれまでWindowsエコシステムで問題となっていましたが、macOSマルウェアへの拡大は、コード署名悪用の重大なエスカレーションを示しています。
EV証明書の悪用とその手口
新たに特定されたDMGサンプル(SHA-256: a031ba8111ded0c11acfede9ab83b4be8274584da71bcc88ff72e2d51957dd7)は、新しい開発者ID「THOMAS BOULAY DUVAL (J97GLQ5KW9)」によって署名されていました。EV証明書は、正当な開発者に対して厳格な身元確認と多大な費用を要求し、Appleプラットフォームにおけるコード署名の「ゴールドスタンダード」とされています。しかし、攻撃者はこれらの証明書を盗難、不正な経路での購入、または身元証明書の悪用によって入手しています。一度署名されると、DMGペイロードはmacOSのセキュリティチェックに対して正当に見え、ユーザーによって容易にインストールされてしまいます。
キャンペーンの運営者は、正当性を偽装するために、署名者の名前の一部をバンドル識別子に付加するという粗雑な試みを行っています。例えば、「balaban.sudoku」は「Alina Balaban」を模倣し、「thomas.parfums」は「Thomas Boulay Duval」を模倣しています。しかし、詳細な調査により、悪意ある挙動は容易に明らかになります。
悪意あるランチャーの分析
DMG内のMach-O実行ファイルの分析により、文字列テーブルにフランス語の「parfums」という単語が複数埋め込まれていることが判明しました。埋め込まれたAppleScriptは、実行時にリモートURL(franceparfumes[.]org/parfume)からフェッチされます。これは、以前にWindowsで確認された資格情報窃取型トロイの木馬であるOdyssey Stealerとして識別されるセカンドステージペイロードをドロップし、実行します。このスクリプトは、SwiftのdataTaskWithURL:completionHandler:メソッドを介してシステムAPIを呼び出し、アラートを発生させることなく、署名されたコンテナ内でスティラーバイナリをダウンロードして実行します。
運用上の影響と対策
脅威アクターによるEV証明書の悪用は、Appleのコード署名信頼モデルを損なうものです。このような証明書が報告され、失効リストに追加されれば、その後のマルウェアキャンペーンは更新されたシステムでは起動できなくなります。しかし、検出されない展開の機会は数日から数週間続く可能性があり、その間に多数の被害者が出る可能性があります。
侵害指標(IOCs):
- SHA-256:
a031ba8111ded0c11acfede9ab83b4be8274584da71bcc88ff72e2d51957dd7 - ドメイン:
franceparfumes[.]org/parfume - IPアドレス:
185.93.89.62
セキュリティチームは、CertCentralの公開ルックアップ(certcentral.org/lookup?detail_type=malware&query=Odyssey+Stealer)を通じて、Odyssey Stealerによって悪用されたEV証明書を監視できます。
結論:警戒の必要性
EV証明書をmacOSマルウェアに署名するために使用することは、コード署名悪用における憂慮すべき変化を示しています。組織およびエンドユーザーは、常に警戒を怠らず、Gatekeeperのプロンプトを超えて証明書の正当性を確認し、脅威インテリジェンスフィードを活用して悪意あるドメインや失効した証明書をブロックする必要があります。悪用されたEV証明書の迅速な報告と失効は、これらのキャンペーンを阻止し、同様に署名された脅威からmacOS環境を保護するために不可欠です。
元記事: https://gbhackers.com/hackers-abuse-ev-certificates-to-sign-completely-undetectable-dmg-malware/