私の名前を言って：MioLabがどのようにMacOSステーラーエンパイアを築いているか

概要

MioLabは、ソフトウェアエンジニア、重役、暗号通貨投資家などの高価値の被害者をターゲットにした、商業的に配布されるmacOSの情報窃取ツールです。悪意のある広告とClickFix感染チェーンを介して広がり、コンパクトなCベースのバイナリを起動します。このバイナリはブラウザーの資格情報、パスワードマネージャーの記録、暗号通貨ウォレットのファイル、macOSのキーチェーンデータを盗みます。盗まれた情報は一時ディレクトリにステージングされ、アーカイブに圧縮され、curlのPOSTリクエストを使用して悪意のあるドメインに送信されます。この操作は、ウェブベースのコントロールパネル、プロキシサポート、大規模なサイバー犯罪グループ向けのAPIアクセスも含まれます。

調査

この報告書は、マルウェアの静的特性、実行時の動作、およびChrome、Firefox、Safari、Telegram、Discord、Apple Notes、ハードウェアウォレットアプリケーションなど、幅広いターゲットデータソースについて概説しています。インフラストラクチャ分析では、ロシアのバレットプルーフホスティング、反復ドメイン回転、およびWeb3トークンエアドロップフィッシング操作と関連する共有バックエンドが指摘されています。調査官はまた、コマンドライン、一時フォルダパス、エクスフィルトレーションURLなどの主要インジケータも抽出しました。

緩和策

防御者はユーザーが偽の資格情報プロンプトを認識するよう訓練し、dscl、osascript、curlなどの組み込みバイナリの悪用を監視し、既知の悪意のあるドメインをブロックし、コード署名を強化し、ブラウザープロファイルデータとキーチェーンファイルへのアクセスを制限する必要があります。検出ロジックはまた、マルウェアのプロセス実行パターンと/var/folders以下でのアーカイブステージングの動作にも焦点を当てるべきです。

対応策

MioLabが検出された場合、影響を受けたMacを隔離し、揮発性メモリとファイルシステムのアーティファクトをキャプチャし、関連するC2ドメインとIPをブロックし、漏洩した資格情報と暗号通貨ウォレットキーを取り消し、全てのターゲットデータの場所を完全な法医学レビューを行います。エンドポイント検出コンテンツは、観察されたコマンドラインで更新され、チームは環境全体で類似の感染チェーンを探します。

シミュレーション実行

事前条件：テレメトリとベースラインのプリフライトチェックが通過している必要があります。

理由：このセクションは、検出ルールをトリガーするために設計された正確な攻撃者技術（TTP）の実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって予想される正確なテレメトリを生成することを目指します。

• 攻撃の説明＆コマンド:

  1. ユーザーのターミナルセッションを終了 – マルウェアは最初に標準のコマンドプロンプトを無効にして、ユーザーを制御されたUIフローに誘導します。

     killall Terminal

  2. 偽の資格情報プロンプトを表示 – 使用して osascript、攻撃者はシステム設定の警告を模倣したAppleScriptダイアログを表示し、ユーザーにパスワードの入力を促します。

     osascript -e 'display dialog "このアプリケーションを実行する前にシステム設定を構成する必要があります。" default answer "" with hidden answer'

  3. 収集した資格情報を検証 – 捕獲されたパスワードは、でローカルディレクトリサービスに対して検証されます dscl . -authonly。成功したリターンは、資格情報が正しいことを確認します。

     dscl . -authonly "$USER" "$HARVESTED_PASSWORD"

  4. エクスフィルトレーションペイロードのステージングと圧縮 – 攻撃者は収集したデータ（例： ~/.ssh/id_rsa）を、を使用して dittoにZIPアーカイブにまとめ、アップロードの準備をします。

     ditto -c -k --sequesterRsrc /var/folders/*/DataStaging /tmp/exfil.zip

• リグレッションテストスクリプト： （Bash – ルールをトリガーする正確なシーケンスを実行）

  #!/usr/bin/env bash
  set -euo pipefail
  
  echo "[*] MioLabのシミュレーションを開始します..."
  
  # 1. ターミナルの強制終了
  echo "[+] ターミナルを終了させます"
  killall Terminal
  
  # 2. 偽のAppleScriptプロンプトを表示（シミュレーション - ユーザー操作はありません）
  echo "[+] 偽の資格情報プロンプトを表示"
  osascript -e 'display dialog "このアプリケーションを実行する前にシステム設定を構成する必要があります。" default answer "" with hidden answer' >/dev/null 2>&1
  
  # 3. 資格情報の検証（現在のユーザーとダミーパスワードを使用）
  echo "[+] 収集した資格情報を検証します"
  HARVESTED_PASSWORD="P@ssw0rd!"   # 実際のシナリオではこれが盗まれたパスワードになります
  dscl . -authonly "$USER" "$HARVESTED_PASSWORD" || true   # デモのために失敗を無視
  
  # 4. データのステージングと圧縮
  echo "[+] ステージングされたデータを圧縮します"
  STAGING_DIR=$(mktemp -d)
  echo "サンプルデータ" > "$STAGING_DIR/sample.txt"
  ditto -c -k --sequesterRsrc "$STAGING_DIR" /tmp/exfil.zip
  
  echo "[*]シミュレーションが完了しました。SIEMでアラートを確認してください。"

• クリーンアップコマンド： （生成されたアーティファクトを削除し、セッションを復元）

  #!/usr/bin/env bash
  set -euo pipefail
  
  echo "[*] MioLabシミュレーションのアーティファクトをクリーンアップしています..."
  
  # 偽のZIPアーカイブを削除
  rm -f /tmp/exfil.zip
  
  # 存在する場合は一時ステージングディレクトリを削除
  [[ -d "$STAGING_DIR" ]] && rm -rf "$STAGING_DIR"
  
  # 必要に応じてユーザーのためにターミナルを再起動
  open -a Terminal
  
  echo "[*] クリーンアップが終了しました。"