PR

Gatekeeper検査を回避するMacSyncドロッパー、署名・公証を悪用

Security

Source:https://www.bleepingcomputer.com/news/security/new-macsync-malware-dropper-evades-macos-gatekeeper-checks/

🛡 概要

macOS向け情報窃取型マルウェア「MacSync(別名: Mac.C)」の最新亜種が、Appleのコード署名とノータリゼーションを通過したSwift製アプリとして配布され、Gatekeeperの検査を通過して実行されていたことがJamfの分析で判明しました。配布物は「zk-call-messenger-installer-3.9.2-lts.dmg」というディスクイメージで、当該時点ではDeveloper Team ID「GNJLS3UYZ4」による有効な署名・公証が付与されていましたが、JamfからAppleへの報告後に証明書は失効されています。

過去のドラッグ&ドロップでTerminalに投入させる手口(drag-to-Terminal)やClickFix系の社会工学的誘導よりも、正規アプリ然としたUXで摩擦を低減している点が大きな進化です。ノータリゼーション済み=安全ではないことを改めて示す事例です。

🔍 技術詳細

Jamfの報告によれば、本件はユニバーサル(Intel/Apple Silicon)対応のMach-Oバイナリを内包したSwiftアプリがドロッパーとして機能します。アプリはエンコード済みのペイロードを内包し、実行時にデコード・展開して本体スティーラの実行に繋げます。DMG自体は25.5MB程度まで肥大化させられており、ダミーのPDFを同梱することで検体解析や静的特徴量ベースの検出回避を狙っています。実行チェーンで用いたスクリプトのワイプ(削除)や、起動前のインターネット接続可否チェックによるサンドボックス回避も観測されています。

配布は「zk-call-messenger-installer-3.9.2-lts.dmg」という名称で行われ、解析時点ではコード署名・公証(notarization)が有効で、Gatekeeperの評価を通過しました。開発者チームIDは「GNJLS3UYZ4」と確認されましたが、報告後に失効済みです。これらは脆弱性悪用ではなく、信頼連鎖(署名・公証)を逆手に取る防御回避に該当します。

既知のMacSync(Mac.C)は、iCloudキーチェーン資格情報、Webブラウザに保存されたパスワード、システムメタデータ、暗号資産ウォレット情報、ファイルシステム上の機密ファイルなどの窃取機能を持つことが過去分析で示されています。今回の亜種は配布・防御回避の洗練により、ユーザー操作を最小化しつつ実行に至らせる点が特徴です。

CVSS: 該当なし(既知のCVEを悪用した侵入ではなく、正規署名・公証を悪用した配布手口のため)

⚠ 影響

  • 資格情報流出: キーチェーンやブラウザ保管の認証情報が窃取され、業務アカウント乗っ取り、メール・SaaS横展開、財務・開発環境への不正アクセスに直結。
  • データ流出/金銭被害: 暗号資産ウォレット情報や機密ファイルの漏えい、資産窃取や恐喝リスク。
  • 検出困難化: 署名・公証・DMG偽装により初期検知が遅延。サンドボックス回避や痕跡削除でフォレンジック難易度が上昇。

🛠 対策

  • アプリ許可戦略の見直し: 「公証=安全」ではない前提で、App Store以外のDeveloper IDは原則ブロック/審査(Santa等のホワイトリスティング、EDRのレピュテーション基盤を活用)。
  • ダウンロード元制御: ゲートウェイ/DNSフィルタで高リスク配布源を遮断。初回実行時の/Volumes配下からの実行を監視・制限。
  • 資格情報保護: キーチェーン、ブラウザ保存パスワード、ウォレットの保護方針を強化(ハードウェアキー、ブラウザ同期の見直し、ウォレットはハードウェア主体)。
  • EDR/統合ログの強化: syspolicydによる評価ログ、com.apple.quarantine属性、初回起動直後の外向き通信、ファイルスキャン/削除挙動を相関検知。
  • ユーザー教育: 正規風インストーラでも即時信頼しない、業務で不要なメッセンジャー/VoIP等の導入申請フロー徹底。
  • 証明書失効の即時反映: 失効済みDeveloper IDのブロックルールをMDM/EDRに反映。

📌 SOC視点

  • プロセス/ファイル: hdiutil/diskimages-helperでマウント後、/Volumes/配下から起動する新規署名アプリの実行チェーンをハント。
  • Gatekeeper/公証: syspolicydやSecAssessment関連のUnified Logで「評価許可された未知のTeam ID」を可視化。失効リストと照合。
  • 証跡消去: 実行直後のスクリプト/一時ファイル削除(T1070.004)を行うプロセスを挙動検知。
  • 資格情報アクセス: キーチェーン/API利用やブラウザプロファイルディレクトリ(Chrome/Edge/Firefox)の読み出し急増を検知。必要に応じてTCCイベントを相関。
  • ネットワーク: 初回実行から短時間での外向きPOST/アップロード、DNS新規ドメイン解決、DoH/暗号化トンネルの確立を監視。

📈 MITRE ATT&CK

  • T1204.002 User Execution: Malicious File(ユーザーがDMG内アプリを実行することで侵入)
  • T1553.002 Subvert Trust Controls: Code Signing(有効なDeveloper ID署名・公証を悪用しGatekeeperを通過)
  • T1027 Obfuscated/Compressed Files and Information(エンコード済みペイロードやDMG肥大化で静的検知回避)
  • T1497 Virtualization/Sandbox Evasion(実行前のネット接続チェックにより解析環境回避)
  • T1070.004 Indicator Removal: File Deletion(実行チェーンのスクリプトをワイプ)
  • T1555.001 Credentials from Password Stores: Keychain(キーチェーンからの資格情報窃取)
  • T1555.003 Credentials from Web Browsers(ブラウザ保存パスワードの窃取)
  • T1005 Data from Local System(ローカルファイル・メタデータの収集)

🏢 組織規模別助言

  • 小規模(〜50名): MacのEDRを必須化し、未知の開発者ID実行をブロック。ブラウザ保存パスワード禁止、FIDO2によるMFAを標準化。ソフト導入はIT承認制に。
  • 中規模(50〜500名): Santa等の許可リスト運用をMDMで集中管理。/Volumesからの実行検知、syspolicyログのSIEM集約、資格情報保管のリスク評価(ウォレット/開発秘密情報)。
  • 大規模(500名以上): レピュテーション/証明書失効のフィード連携、振る舞いモデルによる初回実行〜外向き通信の相関検知、DLPでブラウザ/ウォレット由来の流出を監視。レッドチームで署名・公証悪用シナリオを演習。

🔎 類似事例

  • Atomic Stealer(AMOS): 正規アプリを装う配布とブラウザ/ウォレット窃取で類似。
  • MetaStealer(macOS): 業務文書に偽装したディスクイメージで配布。
  • JaskaGO: Go製macOSスティーラ、情報窃取と防御回避の組み合わせ。
  • ShlayerのGatekeeper回避(CVE-2021-30657): 署名・検査の信頼連鎖を迂回した歴史的事例。

🧭 次の一手

  • 自社MacにおけるDeveloper ID/公証の信頼戦略を見直す実装ガイド(Santa/MDM/EDRの連携)を確認。
  • syspolicyd/TCC/Unified Logの収集・相関プレイブックを整備。
  • キーチェーン/ブラウザ資格情報の企業方針(保存可否・MFA・ハードウェアキー)をアップデート。
  • Jamf等の詳細分析レポートとAppleのノータリゼーション仕様の最新解説を参照し、検知ルールに反映。