AppleScriptを利用したクリプトジャッカー、OSAMinerが5年も潜伏①

OSAMiner: The Apple cryptojacker that hid for five years

概要

  • OSAMinerは、OS XやmacOSを標的とした有名なクリプトマイニングマルウェアで、2015年から活動を続けています。
  • 最近発見されたOSAMinerの亜種は一部に実行専用の埋め込みAppleScriptを利用していたため、これまで見つからずにいました。
  • 最近まで、埋め込まれたAppleScriptの関数を確認するための適切な逆コンパイラーを利用することができませんでした。

OSAマイナーの巧みな偽装

OSAマイナーは2015年から存在しており、少なくとも2018年には知られていましたが、新たに発見された亜種は、実行専用のAppleScriptを、別の実行専用AppleScriptの内部に巧みに隠すことで、リサーチャーの目を逃れ続けていました。実行専用スクリプトは人間が判読できるコードがを含まれておらず、完全な逆コンパイルするのが難しいことでも知られています。一部のセキュリティ侵害インジケータ(IoC)がその攻撃を検知しましたが、これまで、完全な分析ができなかったため、攻撃で用いられた重要なファイルが複数、発見されないままとなっていました。しかし、最近になってAppleScriptの逆コンパイルに役立つツールがいくつか開発され、状況が変わりました。これらのツールを用いることで、このクリプトジャッキング攻撃で使用されたファイルの中身のより詳細な調査と、OSAMinerに関連するファイルを幅広く調べることが可能になったのです。