Group-IBはこのほど、「Stealthy Attributes of APT Lazarus|Group-IB Blog」において、北朝鮮の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Lazarus」が新しい手法をとるマルウェアローダー「RustyAttr」の配布を試みたと報じた。

RustyAttrは、macOS システムにおける検出を回避するため、ファイルやディレクトリの拡張属性(EA: Extended Attributes)に悪意のあるスクリプトを埋め込み、検出を回避するという。

  • Stealthy Attributes of APT Lazarus|Group-IB Blog

    Stealthy Attributes of APT Lazarus|Group-IB Blog

侵害経路

Group-IBの調査によると、RustyAttrはオープンソースのTauriフレームワークを使用して開発されたアプリとされる。TauriはフロントエンドにJavaScript、バックエンドにRustを採用するクロスプラットフォームのフレームワークで、WebViewアプリを開発することができる。

RustyAttrを起動するとランダムに選択したインターネット上のテンプレート画面が表示され、同時に悪意のあるJavaScriptがロードされる。JavaScriptはTauriが提供するAP(Application Programming Interface)を使用してバックエンドのRust関数を呼び出し、ファイルの拡張属性から悪意のあるスクリプトを読み出して実行する。

  • 拡張属性に埋め込まれたスクリプトの例。囮のPDFファイルを表示して次のスクリプトを実行する - 引用:Group-IB

    拡張属性に埋め込まれたスクリプトの例。囮のPDFファイルを表示して次のスクリプトを実行する 引用:Group-IB

Group-IBによると、この後続のスクリプトは取得できず、最後まで調査できなかったという。しかしながら、RustyAttrと囮のPDFファイルの配布に使用されたファイル共有サービス「pCloud」のアカウントを特定できたことから、このアカウントについて調査を続行している。

このアカウントからは、2023年にLazarusが利用したマルウェア「RustBucket」と関係のあるファイル「Dedicated PDF Viewer.zip」が確認され、また、雇用関連、暗号通貨関連のファイルの存在も確認された。これらはLazarusの活動と一致することから、今回発見された攻撃はLazarusによると推定されるが信頼性は中程度としている。

  • RustyAttrの攻撃手順 - 引用:Group-IB

    RustyAttrの攻撃手順 引用:Group-IB

影響と対策

RustyAttrの新しい手法は、既存のセキュリティソリューションの検出を回避できるとされる。しかしながら、漏洩した証明書を使用して署名されたこのアプリは、すでにAppleにより署名が取り消され、公証も取得できておらず、Gatekeeperにより実行を阻止されるという。そのため、これまでのところ被害者は確認されていない。

これはAppleの防御層が機能し、マルウェアを阻止できたことを証明している。ただ、Group-IBは適切に署名および公証されたRustyAttrの出現の可能性は残るとして、将来の攻撃に警戒するよう呼びかけている。

Group-IBは同様の攻撃を回避するために、信頼できないファイルのダウンロードおよび実行はせず、依頼を受けてもGatekeeperを無効にしないことを推奨している。また、組織に対しては継続的な警戒が必要として、高度なセキュリティソリューションの導入を推奨している。