Recorded FutureのInsiktグループは6月17日(米国時間)、「The Travels of “markopolo”: Self-Proclaimed Meeting Software Vortax Spreads Infostealers, Unveils Expansive Network of Malicious macOS Applications|Recorded Future」において、「Vortax」と称するWeb会議ソフトウェアから複数の情報窃取マルウェアが配布されたと報じた。この大規模なマルウェア配布キャンペーンは「markopolo」と呼ばれる脅威アクターによるもので、同様の攻撃に使用予定とみられる復数の不審なアプリが発見されている。

The Travels of “markopolo”: Self-Proclaimed Meeting Software Vortax Spreads Infostealers, Unveils Expansive Network of Malicious macOS Applications|Recorded Future

○情報窃取マルウェアの概要と目的

Insiktグループの調査によると、Vortaxを介して配布される情報窃取マルウェアは「Rhadamanthys」「Stealc」「Atomic macOS Stealer(AMOS)」の3種類。これらマルウェアは認証情報を含むさまざまな情報を窃取するが、攻撃者の最終目標は暗号資産の窃取とされる。

攻撃の実行者とみられる「markopolo」はホスティングサービスとコマンド&コントロール(C2: Command and Control)インフラストラクチャを使用し、発見されるとすぐに別の攻撃に切り替える特徴があるとされる。markopoloはSNS(Social networking service)を悪用して標的を勧誘し、狙いを定めるとソフトウェアのダウンロードに必要なルームIDと呼ばれる会議の招待状を伝える。

Vortaxの配布に使用されたSNSアカウント 引用:Recorded Future

被害者はルームIDを使用してWeb会議ソフトウェア「Vortax」をダウンロードする。ルームIDがなければソフトウェアをダウンロードすることはできない。これはセキュリティ企業による検出を回避する目的があるものとみられる。被害者がVortaxをインストールするとマルウェアに感染する。

○対策

Insiktグループはmarkopoloによる同様の攻撃を回避するために、次のような対策の実施を推奨している。

企業や組織は利用を許可していないソフトウェアの危険性について従業員を教育する

ライセンスのないソフトウェアの利用を防止するセキュリティソリューションを導入する

SNS(Social networking service)など不特定多数が集まるプラットフォームにて不審な活動に遭遇した場合、セキュリティチームに報告するよう従業員を教育する

Insiktグループは調査の詳細を「(PDF) The Travels of “markopolo”: Self-Proclaimed Meeting Software Vortax Spreads Infostealers, Unveils Expansive Network of Malicious macOS Applications | Recorded Future By Insikt Group」にて公開している。このレポートでは調査の過程で発見した不審なアプリの一覧やセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。