Apple系アプリ開発者を標的としたバックドア作成＆スパイ機能を備えたマルウェアが見つかる

Mac OS Xに付属していたAppleのソフトウェア統合開発環境「Xcode」に内在するバックドアを標的としたマルウェア「XcodeSpy」が見つかりました。XcodeSpyはXcodeにバックドアを作成してデータを漏洩させるだけでなく、感染後にXcodeで作成したアプリケーションにまで悪意のあるコードを付加可能です。

New macOS malware XcodeSpy Targets Xcode Developers with EggShell Backdoor - SentinelLabs
https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/

Hackers target Apple developers with backdoor - CyberScoop
https://www.cyberscoop.com/hackers-target-apple-developers-backdoor-xcode/

Trojanized Xcode Project Slips MacOS Malware to Apple Developers | Threatpost
https://threatpost.com/xcode-macos-malware-apple-developers/164897/

Attackers are trying awfully hard to backdoor iOS developers’ Macs | Ars Technica
https://arstechnica.com/gadgets/2021/03/attackers-are-trying-awfully-hard-to-backdoor-ios-developers-macs/

Xcodeを標的とした新型マルウェアを報告したのは、アメリカのサイバーセキュリティ系スタートアップSentinelOne。XcodeSpyは、開発者向けビルドを起動するたびに攻撃者のサーバーに接続し、マイク・カメラ・キーボードを監視するオープンソースツール「EggShell」のカスタムバージョンを自動インストールするというトロイの木馬型マルウェアです。

SentinelOneの調査によると、XcodeSpyは開発者がアプリケーションのインスタンスを起動する際のカスタムシェルスプリクトを実行します。実際にXcodeSpyをオープンソースソフトウェアに用いるという検証の結果、難読化されたスクリプトが組み込まれていることが確認されています。

この難読化はかなり単純なもので、解読すると「cralev[.]me」という攻撃者のサーバーに組み込まれたリバースシェルを介して謎のコマンド「mdbcmd」を実行するというものでした。発見時点でcralev[.]meはすでにオフラインだったため、これ以上の解析は不可能とのこと。

報道時点において、SentinelOneがXcodeSpyの被害を確認したのはアメリカ企業1社のみ。機密保持の観点から被害状況については明かされていませんが、この企業は北朝鮮系のAPT攻撃グループから繰り返し攻撃を受けていたとのこと。XcodeSpyを用いた攻撃は2020年7～10月に行われており、SentinelOneはこの1社以外にも被害を受けている企業は存在するとして、特にアジアの開発者に注意を促しています。

Xcodeはたびたび攻撃の対象となっており、2015年には中国国内に置かれた非正規のミラーサーバーで公開されているXcodeを対象としたマルウェア「XcodeGhost」が流行し……

個人情報を抜き取るマルウェア「XcodeGhost」に感染してApp Storeで配信されていたことが判明しているアプリはコレ - GIGAZINE

By Ciro Urdaneta

2020年にもXcodeプロジェクト間で「XCSSET」というマルウェアが流行しているとトレンドマイクロが報告しています。

Xcodeプロジェクト経由で拡散するMac向けマルウェア「XCSSET」が登場 - GIGAZINE