Silver Sparrow: 新しいMacマルウェアが謎の目的でユーザーに密かに感染

サイバーセキュリティアナリストは、Appleユーザーを攻撃する高度なマルウェアサンプルを野外で検出しました。Red Canary、Malwarebytes、およびVMWare Carbon Blackの共同研究 では 153か国で約30,000のホストが、Silver Sparrowと名付けられた新しい脅威によって危険にさらされていることが示されています。最高の感染率は、アメリカ合衆国、カナダ、フランス、イギリス、ドイツで確認されました。

現時点で、Silver Sparrowの配信方法は不明のままであり、さらに興味深いことに、悪意のある活動の最終的な目標もまだ決定されていません。しかし、セキュリティ専門家は、Appleの新しいM1チップを標的にする能力、新しい回避戦術、そして異常な悪意のある振る舞いのため、この新しい脅威の高度さを指摘しています。

Silver Sparrowの説明

2021年2月現在、セキュリティアナリストは、 updater.pkg and updater.pkg というファイル名で配信されるSilver Sparrowの2つの既存のバリアントを発見しました。どちらの亜種も機能的には似ており、唯一の区別は updater.pkg がIntel x86_64とM1 ARM64アーキテクチャの両方をサポートするMach-Oバイナリが含まれていることであり、 updater.pkg はIntel x86_64アーキテクチャのみをサポートしているということです。

ほとんどの既存のMacの悪意のあるソフトウェアサンプルがコマンドを実行するために再インストールまたは後インストールスクリプトに依存しているのに対して、Silver Sparrowはこの目的のために合法的なmacOSインストーラJavaScript APIを悪用します。これは、脅威が検出を回避するための顕著な新機軸であり、このようなアプローチが異なるテレメトリを生み出し、悪意のある活動を分析する際に研究者を惑わせます。

感染すると、Silver SparrowはJavaScript関数を使用してシェルスクリプトを生成し、オペレーターのコマンド・アンド・コントロール（C&C）サーバーに接続します。その後、マルウェアは、これらのスクリプトを繰り返し起動して保守者からの新しいコマンドを待つためにLaunchAgent Plist XMLファイルを作成します。ただし、専門家が調査したサンプルは、一度も指示を受け取りませんでした。欠陥のある株の兆候かもしれませんが、専門家はSilver Sparrowが分析を検出し、調査対象のホストに第2段階の実行可能ファイルをプッシュしないと仮定しています。

最終目的のパズルとは別に、Silver Sparrowは異常なファイルチェックを実行します。特に、マルウェアはディスク上で ~/Library/._insu の存在を確認し、識別された場合、Silver Sparrowはシステムからすべてのファイルを削除します。このチェックの目的は現在未知のままです。

Silver Sparrowの洗練された点のもう一つの証拠は、Appleの最新のM1チップを搭載したmacOSシステムと互換性がある事実です。それは M1 ARM64アーキテクチャをサポートすることで検出された2番目の脅威です。 そのような革新は静的解析を著しく複雑にし、ウイルス対策ソリューションによるこの悪意のあるストレインの検出率を低下させます。

Silver Sparrowの検出

2021年2月22日、 Appleは、インストールパッケージに署名するためにSilver Sparrowの作成者によって利用された証明書を取り消しました。これにより、ベンダーはユーザーをさらなるマルウェアの拡散から守り、新たな感染を防ぎます。 leveraged by Silver Sparrow creators to sign the installation packages. This way the vendor protects its users from further malware propagation and blocks any new infections.

Silver Sparrowマルウェアに関連する可能性のある悪意のある活動を検出するために、Threat Detection MarketplaceからSOC Primeチームが提供する専用のSigmaルールをダウンロードしてください： https://tdm.socprime.com/tdm/info/abqGAiP8fz3K/fVpgzncBTwmKwLA9K4Q1/#rule-source-code

このルールには、以下のプラットフォームへの翻訳があります：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye Helix

EDR: Carbon Black

MITRE ATT&CK：

戦術：実行

テクニック：コマンドラインインターフェース (T1059)

Threat Detection Marketplaceに有料でアクセスできない限り、この専用のSigmaルールはコミュニティサブスクリプションの無料トライアルを有効にすることで解除できます。

Threat Detection Marketplaceにサインアップして、 95,000以上の検出規則、パーサー、検索クエリ、その他のCVEおよびMITRE ATT&CK®フレームワークにマップされたコンテンツを含む業界をリードするSOCライブラリにアクセスしてください。コンテンツベースは、300以上のセキュリティパフォーマーから成る国際コミュニティの協力により、毎日豊富になります。私たちの脅威狩りの取り組みの一員になりたいですか？  Join Threat Bounty Program!