みなさん、こんにちは!
2/19 に Intego 社公式ブログ(The Mac Security Blog)にアップされた「OceanLotus OS X Malware Disguises Itself as Adobe Flash Update」というエントリー。このエントリーでは、Mac に感染するトロイの木馬「OceanLotus」のレポート記事がまとめられています。
Intego The Mac Security Blog - OceanLotus OS X Malware Disguises Itself as Adobe Flash Update
本日はこちらの内容をご紹介いたします。
OceanLotus とはどのようなマルウェアか?
政府、研究所、海上保安部、海上構造物、運送会社を含む中国のインフラ重要拠点が攻撃対象となったといわれている、 Mac も標的としたトロイの木場型マルウェアです。昨年 5 月に中国のセキュリティ企業である Qihoo360 の研究機関 SkyEye Labs が注意喚起した事でも有名です。
OceanLotus 自体は 2012 年に発見され、主に中国政府機関をターゲットしたマルウェアです。SkyEye Labs によれば、4 つの異なるタイプの 100 以上の OceanLotus が、中国の 29 の省・39 の国で発見したようです。感染したコンピュータの内、92% 以上は中国国内で発見されました。
OceanLotus の感染方法
OceanLotus の感染経路は、Adobe Flash のアップデータを装い、ダウンロードさせた実行ファイルによって OceanLotus に感染させます。詳細な感染手口は The Mac Security Blog にまとめられており、偽の Adobe Flash のアップデータは「水飲み場型攻撃」と「スピアフィッシング攻撃」によって拡散されました。
Wikipedia - 水飲み場型攻撃
Wikipedia - フィッシング (詐欺)
OceanLotus が含まれるファイルは以下のような名称になっています。
- FlashUpdate.app/Contents/MacOS/EmptyApplication
- FlashUpdate.app/Contents/Resources/en.lproj/.DS_Stores
- FlashUpdate.app/Contents/Resources/en.lproj/.en_icon
多くのアンチウイルスソフトでは検出がされない
セキュリティ企業の AlienValut によれば、2016 年 2 月 8 日の段階で VirusTotal に登録されている 55 のアンチウィルスエンジンで OceanLotus は検出できなかったそうです。
OceanLotus を起動させるプログラムは暗号化されており、自動的に復元し、ローカルファイルに脅威を及ぼすその他のファイルも復元します。これが分析(および保護ルーチンの作成)を難しくしています。
Intego は対応済み
Intego VirusBarrier X8 (https://t.co/abSCwqpVCF) は定義ファイル更新にて OSX/OceanLotus を検出できるようになっています。https://t.co/ucvFvPJ1kS— act2, Inc. (@act2com) 2016年2月24日
OceanLotus がインストールされるとデーモンが動き C&C サーバからタスクが実行されますが、Intego 社が行ったテストによって、現在は C&C サーバがオフラインである事がわかりました。
IT 用語辞典 - C&Cサーバ 【 command and control server 】
ただし、下記のスクリーンショットのようなメッセージを目にしたら、接続を遮断してください。OceanLotus が追加のペイロードコード(破壊的な操作を実行する悪質なコードの一部)をダウンロードするために、C&C サーバからのコマンドを受け取ろうとしていることが NetBarrier が警告しています。
なぜ犯罪者は Adobe Flash のアップデータを装い、OceanLotus でユーザを攻撃したのか? OceanLotus を使うハッカーは、ターゲットが Adobe Flash のような広く使われているアプリケーションのアップデートをインストールするのに慣れていること、またターゲットの多くが画面上にポップアップが表示されても驚かず、潜在的な危険についてよく考えずにそれをクリックすることを知っています。
OceanLotus 自体は、前述の通り中国政府機関をターゲットとしたマルウェアですが、Mac ユーザを狙う攻撃が効果的であれば、その攻撃の方法論は必ずしも洗練されたものである必要はないのです。個人ユーザレベルでもその対策は必要となってきています。
それでは本日はここまで。
テクニカルサポート - TH
- いよいよ Mac が危ない、Mac のセキュリティ対策が本当に必要な時です -
【30%OFF 】intego Dual Protection シリーズキャンペーン 詳細・ご購入
- 関連情報 -
act2 サポートブログ - Intego、最新のウイルス定義ファイル更新にて OS X 初のランサムウェア「KeRanger」に対応
act2 サポートブログ - OS X 上で完全に機能する初のランサムウェア「KeRanger」が出現
act2 サポートブログ - イタリアのセキュリティ企業が自ら生み出した OS X 用マルウェア
act2 サポートブログ - OS X でもランサムウェアに感染させることができることを証明した Mabouia の存在
act2 サポートブログ - Web ブラウザのポップアップ詐欺に注意せよ!
act2 サポートブログ - あなたのプライバシーを守る、Mac セキュリティ強化策
- act2 サポートサイト -
act2 Support Portal
IT 用語辞典 - C&Cサーバ 【 command and control server 】
なぜ犯罪者は Adobe Flash のアップデータを装い、OceanLotus でユーザを攻撃したのか? OceanLotus を使うハッカーは、ターゲットが Adobe Flash のような広く使われているアプリケーションのアップデートをインストールするのに慣れていること、またターゲットの多くが画面上にポップアップが表示されても驚かず、潜在的な危険についてよく考えずにそれをクリックすることを知っています。
OceanLotus 自体は、前述の通り中国政府機関をターゲットとしたマルウェアですが、Mac ユーザを狙う攻撃が効果的であれば、その攻撃の方法論は必ずしも洗練されたものである必要はないのです。個人ユーザレベルでもその対策は必要となってきています。
それでは本日はここまで。
テクニカルサポート - TH
- いよいよ Mac が危ない、Mac のセキュリティ対策が本当に必要な時です -
【30%OFF 】intego Dual Protection シリーズキャンペーン 詳細・ご購入
- 関連情報 -
act2 サポートブログ - Intego、最新のウイルス定義ファイル更新にて OS X 初のランサムウェア「KeRanger」に対応
act2 サポートブログ - OS X 上で完全に機能する初のランサムウェア「KeRanger」が出現
act2 サポートブログ - イタリアのセキュリティ企業が自ら生み出した OS X 用マルウェア
act2 サポートブログ - OS X でもランサムウェアに感染させることができることを証明した Mabouia の存在
act2 サポートブログ - Web ブラウザのポップアップ詐欺に注意せよ!
act2 サポートブログ - あなたのプライバシーを守る、Mac セキュリティ強化策
- act2 サポートサイト -
act2 Support Portal
0 件のコメント:
コメントを投稿