CloudMensis検出：macOSユーザーのデータを盗む新しいマルウェア

新しいCloudMensisマルウェアが、高度に標的を絞った攻撃で活動を開始しました。研究者たちは、攻撃者が被害者のデバイスに初期アクセスするために使用した手法をまだ特定していません。ただし、2月以降に起こった少数の記録された攻撃は、CloudMensisマルウェアが、ある特定の限られた数のターゲットを狙ったキャンペーンの一環として情報を奪うために展開されたことを示しています。これは、効果の低い散発的なアプローチとはかけ離れています。

このマルウェアは2022年4月にセキュリティレーダーに初めて現れました。研究者たちは、その主な目的が感染したデバイスからの機密データの収集であり、侵害されたユーザーを監視することだと発見しました。CloudMensisは、C2通信のためにDropbox、pCloud、およびYandex Diskといったパブリッククラウドストレージを使用し、主なターゲットはIntelまたはAppleチップで動作するマシンです。

CloudMensisを検出

個々のユーザーと組織がインフラをより良く保護するのを支援するために、我々の有能なThreat Bounty開発者 Onur Atali が最近Sigmaルールをリリースしました。このルールはCloudMensisマルウェアの迅速な検出を可能にします。登録ユーザーは、SOC PrimeのDetection as Codeプラットフォームからこれらのルールをダウンロードできます。

CloudMensis macOS Spyware Detect（ファイルイベント経由）

この検出は、20以上のSIEM、EDR、およびXDRプラットフォームで使用でき、 MITRE ATT&CK®フレームワーク のv.10に準拠しており、ユーザー実行（T1204）技術でExecution戦術を扱います。

サイバーセキュリティの達人はぜひ Threat Bounty Program に参加して、 Sigmaルール を28,000以上のユーザーおよび600人のThreat Bounty Programの研究者と脅威ハンターのコミュニティと共有してください。彼らは自分たちの検出コンテンツをSOC Primeプラットフォームに積極的に貢献し、そのインプットに対して継続的な報酬を受け取っています。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリを探り、 Detect & Hunt ボタンを押して、急速に拡大する環境で巧妙な脅威を素早く特定してください。SOC Primeの検出コンテンツライブラリは新しいコンテンツで常に更新されており、共同のサイバー防御アプローチとFollow the Sun（FTS）モデルにより、重大な脅威に対する検出をタイムリーに提供しています。最新のトレンドに遅れずについていき、現在のサイバー脅威の状況や関連する脅威のコンテキストを探りたいですか？SOC Primeの検索エンジンを試してみてください！ Explore Threat Context ボタンを押して、主要な脅威や新たにリリースされたSigmaルールのプールを瞬時にナビゲートし、ワンストップショップで関連するコンテキスト情報を探ってください。

Detect & Hunt Explore Threat Context

CloudMensisの分析

サイバーセキュリティ企業 ESET は、macOSオペレーティングシステム上で動作するデバイスを侵害するために使用される、Objective-C言語で書かれた未公開のスパイウェアにスポットライトを当てました。最初の感染は2022年2月初旬に発生し、その後の攻撃が続いたとESET研究者によって公開された分析に記されています。

ハッカーが管理者権限を取得すると、CloudMensisのペイロードは2段階のプロセスで展開されます。最初の段階は、メインのペイロードをシステム全体のデーモンとしてダウンロードし実行することです。分析されたマルウェアサンプルにより、研究者たちは39のコマンドを特定し、スクリーンキャプチャの開始、シェルコマンドの実行、任意のファイルの取得と実行、CloudMensis設定の値の変更、リムーバブルストレージからのメールメッセージとファイルのリスト化などのプロセスを起動できるようになっています。

サイバーアクターは、貧弱なセキュリティ設定やその他のサイバーハイジーンの不備を定期的に利用して、ターゲットリストを増やしています。 SOC Prime は情報セキュリティの専門家に、既存および新たな脅威に対する高度な可視性を提供するための適切なツールセットを装備しています。