セキュリティバイト: Mosyle が、型破りな言語で書かれた新しいマルウェア ローダーを特定 [Exclusive]

9to5Mac Security Bite は、次の企業によってのみ提供されます。 Mosyle、唯一の Apple 統合プラットフォーム Apple デバイスをすぐに使えるようにし、エンタープライズでも安全に使用できるようにすることが私たちのすべてです。管理とセキュリティに対する当社の独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代 EDR、AI を活用したゼロトラスト、および独占的な権限管理のための最先端の Apple 固有のセキュリティ ソリューションを、最も強力で最新の Apple MDM と組み合わせています。市場にあります。その結果、完全に自動化された Apple Unified Platform が誕生し、現在 45,000 を超える組織から信頼されており、何百万台もの Apple デバイスを手間をかけずに手頃なコストですぐに使用できるようにしています。 延長トライアルをリクエストする 今日、Apple と協力するために Mosyle がすべてである理由を理解してください


今週の特集では、 セキュリティバイトモシルApple デバイス管理とセキュリティのリーダーである、が独占的に明らかにしました。 9to5マック Mac マルウェア ローダーの新しいファミリーの詳細。 Mosyle のセキュリティ調査チームは、これらの新しい脅威が型破りなプログラミング言語で書かれており、検出を回避するために他のいくつかの卑劣なテクニックを使用していることを発見しました。

マルウェア ローダーは基本的に、サイバー犯罪者にとって「出入り口」です。その主な目的は、システム上に秘密裏に初期存在を確立し、より有害なマルウェアがアップロードされる経路を作成することです。

今月初めに発見された新しいローダー サンプルは、Nim、Crystal、Rust (通常はマルウェア開発には使用されないプログラミング言語) を使用して開発されました。 Objective-C、C++、および Bash が最も一般的です。この珍しいアプローチは、攻撃者が従来のウイルス対策検出方法を意図的に回避しようとしていることを示唆しています。

このアプローチは密かに行われていますが、これが広く普及する傾向になるかどうかは懐疑的です。 Nim や Rust などのあまり人気のないプログラミング言語を使用することは、サイバー犯罪者にとって困難です。これらの言語は、C や Bash などの実証済みのオプションよりも複雑なコンパイル プロセスを必要とする可能性があり、付属する既製のライブラリやツールは少なくなります。学習曲線が急峻になり、デバッグが複雑になるため、犯罪者がマルウェアを暴露する可能性のあるデジタル ブレッドクラムを誤って残してしまう可能性が高くなります。結局のところ、サイバー犯罪者でさえ自分のコードがスムーズに実行されることを望んでいますが、現在、これらの実験的な言語によりそれがはるかに困難になっています。

観察された他の回避戦術:

  • macOS の launchctl メカニズムによる永続化
  • 複数時間の睡眠間隔
  • データ送信前のディレクトリチェック

Mosyle の調査によると、マルウェア キャンペーンは初期段階にあり、偵察に焦点を当てている可能性があります。テレメトリ データは、サンプルがブルガリアと米国のシステムからのものであることを示しています。

最も懸念されるのは、サンプルが最初に発見されてから数日間、VirusTotal によって検出されなかった点です。

以下は、3 つのマルウェア サンプルのハッシュと、対応するコマンド アンド コントロール (C2) ドメインです。

ニムサンプル

C2 ドメイン: ストロベリーアンドマンゴー[.]コム

ハッシュ: f1c312c20dbef6f82dc5d3611cdcd80a2741819871f10f3109dea65dbaf20b07

結晶サンプル

C2 ドメイン: motocyclesincyprus[.]コム

ハッシュ: 2c7adb7bb10898badf6b08938a3920fa4d301f8a150aa1122ea5d7394e0cd702

錆びのサンプル

C2 ドメイン: エアコンソントップ[.]コム

ハッシュ: 24852ddee0e9d0288ca848dab379f5d6d051cb5f0b26d73545011a8d4cff4066

Mosyle のセキュリティ チームは、これらの脅威を積極的に監視し、研究し続けています。さらに詳しく知り次第、ここで最新情報を提供していきます。 [.] ドメインが積極的にクリックされるのを防ぐためです。 Moysle チームによれば、これらの C2 サーバーはまだアクティブである可能性があります。

もっと: 2024 年第 3 四半期にランサムウェア グループが急増、支配力が変化

F忘れてください: ツイッター/X リンクトインスレッド

FTC: 当社は収入を得る自動アフィリエイト リンクを使用しています。 もっと。



出典

返事を書く

あなたのコメントを入力してください。
ここにあなたの名前を入力してください