Jamfは11月12日(米国時間)、「Jamf Threat Labs discovers a new threat targeting macOS」において、北朝鮮の関与が疑われるマルウェアを発見したと伝えた。

同社はGo、Python、Flutterで構築された同一種ながら実装の異なるマルウェアを発見しており、それらのうち最も興味深いとしてFlutterに関する分析結果を公開している。

  • Jamf Threat Labs discovers a new threat targeting macOS

    Jamf Threat Labs discovers a new threat targeting macOS

Flutterで開発されたマルウェア

FlutterはGoogleにより開発されたオープンソースのソフトウェア開発キット(SDK: Software Development Kit)。Android、iOS、Windows、Mac、Linuxなど複数のオペレーティングシステムに対応したクロスプラットフォームのアプリケーションを開発することができる。Jamfによると、Flutterを使用して開発されたアプリは、その設計上の理由により自動的に難読化されるという。

Jamfは調査の過程にて、合計6つの悪意のあるアプリケーションを特定している。うち5つは発見時にすでにAppleにより署名が取り消されていたという。取り消されたアプリの一つは、GitHubにて公開されているiOS向けマインスイーパー「GitHub - recepsenoglu/minesweeper: A minesweeper game app built with Flutter」のクローンアプリとされる。

このアプリを起動すると、過去に北朝鮮のマルウェアが使用した「mbupdate[.]linkpc[.]net」にHTTP接続し、応答されたAppleスクリプトを実行することが確認されている。この事実から、Jamfは北朝鮮の関与の疑いがあると指摘している。

  • 署名を取り消されたアプリの例 - 引用:Jamf

    署名を取り消されたアプリの例 引用:Jamf

マルウェアの目的と対策

マルウェアのAppleスクリプト実行機能から、これらはマルウェアローダーとして配布されたものとみられている。マルウェアローダーの後続の処理については、Jamfの調査の時点でHTTPサーバーの応答が取得できておらず明らかになっていない。

Jamfは発見されたこれらマルウェアについて、本格的な攻撃が目的ではなく、Apple公証サービスを突破し、セキュリティソリューションの検出を回避できるかどうかを検証する目的があったのではないかと推察している。これは、今後より高度な攻撃を実施される可能性があることを意味しており、Apple製品のユーザーには警戒することが望まれている。