RustBucket Mac マルウェアは BlueNoroff 脅威アクターによるもの
モバイル デバイス管理会社の Jamf は、RustBucket と呼ばれる新しいマルウェアを特定しました。これは、Apple デバイスを標的にするために使用されています。
このマルウェアは、悪名高い脅威グループである Lazarus のサブグループである BlueNoroff 高度持続型脅威グループに関連していると考えられています。このマルウェアは、Internal PDF Viewer という名前の正規の PDF ビューアー アプリを装っており、2 つの段階で構成されています。
第 1 段階は、コマンド アンド コントロール サーバーから第 2 段階をダウンロードする未署名のアプリです。第 2 段階は、正当な Apple バンドル ID を装った署名付きアプリケーションです。
RustBucket マルウェアの 2 段階の設計により、特にコマンド アンド コントロール サーバーがオフラインになった場合、分析が難しくなります。現在、RustBucket の両方の段階を検出できるセキュリティ ベンダーはごくわずかです。ただし、攻撃を実行するには正しい PDF ファイルを開く必要があり、それによって攻撃者とマルウェアの間の通信が開始されます。 RustBucket の犠牲にならないように、macOS ユーザーは Gatekeeper を常にアクティブにしておく必要があります。
RustBucket のようなマルウェアはどのように配布されますか?
現時点では、RustBucket マルウェアの正確な配布方法は明らかではありません。ただし、このマルウェアは、フィッシング メールまたは標的のシステムの脆弱性を悪用することによって拡散される可能性が高いと考えられています。このマルウェアは、正規の PDF ビューアー アプリに偽装されており、ダウンロードして実行しても安全だとユーザーを欺くことができます。
RustBucket がインストールされると、コマンド アンド コントロール サーバーから追加のマルウェア コンポーネントをダウンロードできるようになり、攻撃者は感染したシステムを制御できるようになります。添付ファイルを開くときやソフトウェアをダウンロードするときは注意し、感染のリスクを減らすためにオペレーティング システムとセキュリティ ソフトウェアを最新の状態に保つことが重要です。