ظهر برنامج تجسس macOS غير معروف سابقًا في حملة شديدة الاستهداف ، والتي تقوم بسحب المستندات وضغطات المفاتيح ولقطات الشاشة والمزيد من أجهزة Apple. ومن المثير للاهتمام ، أنها تستخدم خدمات التخزين السحابي العامة للحمولات السكنية ولاتصالات القيادة والتحكم (C2) - وهو خيار تصميم غير عادي يجعل من الصعب تتبع التهديد وتحليله.
أطلق عليه الباحثون في ESET الذين اكتشفوه اسم CloudMensis ، وقد تم تطوير الباب الخلفي في Objective-C. يُظهر تحليل ESET للبرامج الضارة التي تم إصدارها هذا الأسبوع أنه بعد الاختراق الأولي ، يحصل المهاجمون الإلكترونيون الذين يقفون وراء الحملة على تنفيذ التعليمات البرمجية وتصعيد الامتيازات باستخدام نقاط الضعف المعروفة. بعد ذلك ، يقومون بتثبيت مكون محمل المرحلة الأولى الذي يسترد حمولة برامج التجسس الفعلية من مزود التخزين السحابي. في العينة التي قامت الشركة بتحليلها ، تم استخدام pCloud لتخزين وتسليم المرحلة الثانية ، لكن البرنامج الضار يدعم أيضًا Dropbox و Yandex كمستودعات سحابية.
ثم يبدأ مكون التجسس في جمع مجموعة من البيانات الحساسة من جهاز Mac المخترق ، بما في ذلك الملفات ومرفقات البريد الإلكتروني والرسائل والتسجيلات الصوتية وضربات المفاتيح. في المجمل ، قال الباحثون إنه يدعم 39 أمرًا مختلفًا ، بما في ذلك توجيه لتنزيل برامج ضارة إضافية.
يتم تشفير جميع البيانات غير المشروعة باستخدام مفتاح عام موجود في وكيل التجسس ؛ ويتطلب مفتاحًا خاصًا ، مملوكًا لمشغلي CloudMensis ، لفك تشفيره ، وفقًا لـ ESET.
برامج التجسس في السحابة
الجانب الأكثر بروزًا في الحملة ، بخلاف حقيقة أن برامج التجسس على Mac هو اكتشاف نادر ، هو استخدامه الحصري للتخزين السحابي ، وفقًا للتحليل.
يوضح Marc-Etienne M.Léveillé ، كبير باحثي البرامج الضارة في ESET لـ Dark Reading: "ينشئ مرتكبو CloudMensis حسابات على موفري التخزين السحابي مثل Dropbox أو pCloud". تحتوي برامج التجسس CloudMensis على رموز المصادقة التي تسمح لهم بتحميل وتنزيل الملفات من هذه الحسابات. عندما يريد المشغلون إرسال أمر إلى أحد برامج الروبوت الخاصة بهم ، فإنهم يقومون بتحميل ملف إلى التخزين السحابي. سيقوم وكيل التجسس CloudMensis بجلب هذا الملف وفك تشفيره وتشغيل الأمر. يتم تشفير نتيجة الأمر وتحميلها على التخزين السحابي للمشغلين لتنزيلها وفك تشفيرها ".
هذه التقنية تعني أنه لا يوجد اسم مجال أو عنوان IP في عينات البرامج الضارة ، يضيف: "غياب مثل هذا المؤشر يجعل من الصعب تتبع البنية التحتية وحظر CloudMensis على مستوى الشبكة."
على الرغم من كونه نهجًا بارزًا ، فقد تم استخدامه في عالم الكمبيوتر الشخصي من قبل من قبل مجموعات مثل بداية (المعروف أيضًا باسم Cloud Atlas) و APT37 (المعروف أيضًا باسم Reaper أو Group 123). ومع ذلك ، "أعتقد أنها المرة الأولى التي نراها في البرامج الضارة لنظام التشغيل Mac ،" يلاحظ M.Léveillé.
الإسناد ، علم الضحايا لا يزال لغزا
حتى الآن ، الأمور ، حسناً ، غائمة عندما يتعلق الأمر بمصدر التهديد. شيء واحد واضح هو أن نية الجناة هي التجسس وسرقة الملكية الفكرية - وهو ما يُحتمل أن يكون دليلًا على نوع التهديد ، نظرًا لأن التجسس هو تقليديًا مجال التهديدات المستمرة المتقدمة (APTs).
ومع ذلك ، فإن القطع الأثرية التي تمكنت ESET من الكشف عنها من الهجمات لم تظهر أي علاقة بالعمليات المعروفة.
يقول M.Léveillé: "لا يمكننا أن ننسب هذه الحملة إلى مجموعة معروفة ، لا من تشابه الكود أو البنية التحتية".
دليل آخر: الحملة مستهدفة بإحكام - وعادة ما تكون السمة المميزة لممثلين أكثر تطوراً.
يقول M.Léveillé: "كشفت البيانات الوصفية من حسابات التخزين السحابية التي تستخدمها CloudMensis أن العينات التي قمنا بتحليلها تعمل على 51 جهاز Mac بين 4 و 22 أبريل". لسوء الحظ ، "ليست لدينا معلومات حول تحديد الموقع الجغرافي أو الوضع الرأسي للضحايا لأنه يتم حذف الملفات من التخزين السحابي."
ومع ذلك ، في مواجهة جوانب APT-ish للحملة ، فإن مستوى تعقيد البرامج الضارة نفسها ليس مثيرًا للإعجاب ، كما أشارت ESET.
"تُظهر الجودة العامة للشفرة ونقص التعتيم أن المؤلفين قد لا يكونون على دراية كبيرة بتطوير Mac وأنهم ليسوا متقدمين جدًا ،" وفقًا لـ التقرير.
يصف M.Léveillé شركة CloudMensis بأنها تهديد متوسط التقدم ، وأشار إلى أنه على عكس برنامج التجسس الهائل من مجموعة NSO Pegasus، لا تبني CloudMensis أي ثغرات يوم الصفر في التعليمات البرمجية الخاصة بها.
يقول M.Léveillé: "لم نر أن CloudMensis تستخدم ثغرات أمنية غير معلنة لتجاوز حواجز أمان Apple". "ومع ذلك ، وجدنا أن CloudMensis استخدمت ثغرات أمنية معروفة (تُعرف أيضًا باسم يوم واحد أو يوم س) على أجهزة Mac التي لا تقوم بتشغيل أحدث إصدار من macOS [لتجاوز التخفيف من الأمان]. لا نعرف كيف يتم تثبيت برنامج التجسس CloudMensis على أجهزة Mac الخاصة بالضحايا ، لذا ربما يستخدمون نقاط ضعف غير معلنة لهذا الغرض ، لكن يمكننا التكهن فقط. هذا يضع CloudMensis في مكان ما في الوسط في مقياس التطور ، أكثر من المتوسط ، ولكن ليس الأكثر تطورًا أيضًا. "
كيفية حماية عملك من CloudMensis وبرامج التجسس
لتجنب الوقوع ضحية لتهديد CloudMensis ، فإن استخدام الثغرات الأمنية للتغلب على عمليات تخفيف macOS يعني أن تشغيل أجهزة Mac الحديثة هو خط الدفاع الأول للشركات ، وفقًا لـ ESET. على الرغم من أن متجه التسوية الأولية غير معروف في هذه الحالة ، فإن تنفيذ جميع الأساسيات المتبقية مثل كلمات المرور القوية والتدريب على التوعية بالتصيد الاحتيالي يعد أيضًا دفاعًا جيدًا.
أوصى الباحثون أيضًا بتشغيل وضع القفل الجديد من Apple ميزة.
وفقًا للتحليل ، "أقرت Apple مؤخرًا بوجود برامج تجسس تستهدف مستخدمي منتجاتها وتقوم بمعاينة وضع Lockdown على iOS و iPadOS و macOS ، والذي يعطل الميزات التي يتم استغلالها بشكل متكرر للحصول على تنفيذ التعليمات البرمجية ونشر البرامج الضارة". "يبدو تعطيل نقاط الدخول ، على حساب تجربة المستخدم الأقل مرونة ، وكأنه طريقة معقولة لتقليل سطح الهجوم".
قبل كل شيء ، يحذر M.Léveillé الشركات من الانغماس في شعور زائف بالأمان عندما يتعلق الأمر بأجهزة Mac. في حين أن البرامج الضارة التي تستهدف أجهزة Mac كانت تقليديًا أقل انتشارًا من تهديدات Windows أو Linux ، هذا يتغير الآن.
ويحذر من أن "الشركات التي تستخدم أجهزة Mac في أسطولها يجب أن تحميها بنفس الطريقة التي تحمي بها أجهزة الكمبيوتر التي تعمل بنظام Windows أو أي أنظمة تشغيل أخرى". "مع زيادة مبيعات أجهزة Mac عامًا بعد عام ، أصبح مستخدموها هدفًا مثيرًا للاهتمام للمجرمين ذوي الدوافع المالية. تمتلك مجموعات التهديد التي ترعاها الدولة أيضًا الموارد اللازمة للتكيف مع أهدافها وتطوير البرامج الضارة التي يحتاجون إليها للوفاء بمهامهم ، بغض النظر عن نظام التشغيل ".
