7月7日、Kasperskyのリサーチャーは2019年8月より、中東で活動しているAPT(高度サイバー攻撃)グループ「WildPressure」が使用するマルウェア「Milum」トロイの木馬を調査。新しいバージョンの「Milum」を複数発見したことを発表した。
発見したうちの1つは、WindowsとmacOSの両方を感染させて動作が可能なことが判明。このトロイの木馬には異なるプログラミング言語の複数バージョンが存在する可能性を推察しており、この仮説が裏付けられたものだという。
Pythonで書かれたマルウェアはパッケージ形式で配布されており、マルウェア本体、Pythonライブラリ、「Guard」という名前のスクリプトが含まれている。このスクリプトは、ほぼ追加の処理なくWindowsとmacOSの両方でマルウェアを起動できるようになっていたという。また、本マルウェアはデバイスへの感染後、オペレーティングシステム依存のコードを実行して永続化とデータ収集を実施。このPython版トロイの木馬は、セキュリティ製品がデバイス上で実行中であるかどうかをチェックする機能も備えていたとしている。
同グローバル調査分析チームのシニアセキュリティリサーチャー デニス・レゲゾ(Denis Legezo)氏は、「WildPressureの攻撃者は以前から同じ中東地域に関心を示しています。また、トロイの木馬について複数のバージョンを開発しており、それらのバージョン管理システムをもっています。同様のマルウェアを複数の言語で開発する理由として一番考えられるのは、検知される可能性を低くすることです。このような戦略はAPT攻撃グループでは珍しくはありませんが、Pythonスクリプト形式であっても同時に二つのシステム上で実行できるマルウェアはほとんど見たことがありません。また、この攻撃グループの地域的な関心を考慮すると、標的にmacOSが含まれていることは意外なことです」と述べている。
【関連記事】
・Kaspersky、2021年の高度サイバー攻撃に関する予測を発表
・新型コロナウイルスの流行でDDoS攻撃が3倍に Kasperskyが調査結果を公開
・カスペルスキー、法人SOC向け新セキュリティソリューション「Kaspersky for SOC」を提供開始
