Ένα προηγουμένως άγνωστο λογισμικό υποκλοπής macOS εμφανίστηκε σε μια εξαιρετικά στοχευμένη καμπάνια, η οποία εκμεταλλεύεται έγγραφα, πληκτρολογήσεις, λήψεις οθόνης και πολλά άλλα από τα μηχανήματα της Apple. Είναι ενδιαφέρον ότι χρησιμοποιεί αποκλειστικά δημόσιες υπηρεσίες αποθήκευσης cloud για τη στέγαση ωφέλιμου φορτίου και για επικοινωνίες εντολών και ελέγχου (C2) — μια ασυνήθιστη σχεδιαστική επιλογή που καθιστά δύσκολο τον εντοπισμό και την ανάλυση της απειλής.
Με το όνομα CloudMensis από τους ερευνητές της ESET που το ανακάλυψαν, η κερκόπορτα αναπτύχθηκε στο Objective-C. Η ανάλυση της ESET για το κακόβουλο λογισμικό που κυκλοφόρησε αυτήν την εβδομάδα δείχνει ότι μετά από αρχικό συμβιβασμό, οι κυβερνοεπιτιθέμενοι πίσω από την καμπάνια κερδίζουν την εκτέλεση κώδικα και την κλιμάκωση των προνομίων χρησιμοποιώντας γνωστά τρωτά σημεία. Στη συνέχεια, εγκαθιστούν ένα στοιχείο φόρτωσης πρώτου σταδίου που ανακτά το πραγματικό ωφέλιμο φορτίο λογισμικού spyware από έναν πάροχο αποθήκευσης cloud. Στο δείγμα που ανέλυσε η εταιρεία, το pCloud χρησιμοποιήθηκε για την αποθήκευση και την παράδοση του δεύτερου σταδίου, αλλά το κακόβουλο λογισμικό υποστηρίζει επίσης το Dropbox και το Yandex ως αποθετήρια cloud.
Στη συνέχεια, το στοιχείο κατασκοπείας ξεκινά τη συλλογή μιας σειράς ευαίσθητων δεδομένων από το παραβιασμένο Mac, συμπεριλαμβανομένων αρχείων, συνημμένων email, μηνυμάτων, ηχογραφήσεων και πληκτρολογήσεων. Συνολικά, οι ερευνητές είπαν ότι υποστηρίζει 39 διαφορετικές εντολές, συμπεριλαμβανομένης μιας οδηγίας για τη λήψη επιπλέον κακόβουλου λογισμικού.
Όλα τα παράνομα δεδομένα κρυπτογραφούνται χρησιμοποιώντας ένα δημόσιο κλειδί που βρίσκεται στον πράκτορα κατασκόπων. και απαιτεί ιδιωτικό κλειδί, που ανήκει στους χειριστές CloudMensis, για την αποκρυπτογράφηση του, σύμφωνα με την ESET.
Spyware στο Cloud
Η πιο αξιοσημείωτη πτυχή της καμπάνιας, εκτός από το γεγονός ότι το λογισμικό υποκλοπής Mac είναι ένα σπάνιο εύρημα, είναι η αποκλειστική χρήση αποθήκευσης cloud, σύμφωνα με την ανάλυση.
«Οι δράστες του CloudMensis δημιουργούν λογαριασμούς σε παρόχους αποθήκευσης cloud, όπως το Dropbox ή το pCloud», εξηγεί στο Dark Reading ο Marc-Etienne M.Léveillé, ανώτερος ερευνητής κακόβουλου λογισμικού στην ESET. «Το λογισμικό κατασκοπείας CloudMensis περιέχει διακριτικά ελέγχου ταυτότητας που τους επιτρέπουν να ανεβάζουν και να κατεβάζουν αρχεία από αυτούς τους λογαριασμούς. Όταν οι χειριστές θέλουν να στείλουν μια εντολή σε ένα από τα bot του, ανεβάζουν ένα αρχείο στο χώρο αποθήκευσης cloud. Ο κατάσκοπος CloudMensis θα ανακτήσει αυτό το αρχείο, θα το αποκρυπτογραφήσει και θα εκτελέσει την εντολή. Το αποτέλεσμα της εντολής κρυπτογραφείται και αποστέλλεται στο χώρο αποθήκευσης cloud για λήψη και αποκρυπτογράφηση από τους χειριστές.
Αυτή η τεχνική σημαίνει ότι δεν υπάρχει όνομα τομέα ή διεύθυνση IP στα δείγματα κακόβουλου λογισμικού, προσθέτει: «Η απουσία τέτοιου δείκτη καθιστά δύσκολη την παρακολούθηση της υποδομής και τον αποκλεισμό του CloudMensis σε επίπεδο δικτύου».
Αν και μια αξιοσημείωτη προσέγγιση, έχει χρησιμοποιηθεί στον κόσμο των υπολογιστών στο παρελθόν από ομάδες όπως Έναρξη (γνωστός και ως Cloud Atlas) και APT37 (γνωστός και ως Reaper ή Group 123). Ωστόσο, «νομίζω ότι είναι η πρώτη φορά που το βλέπουμε σε κακόβουλο λογισμικό Mac», σημειώνει ο M.Léveillé.
Attribution, Victimology Remain a Mystery
Μέχρι στιγμής, τα πράγματα είναι θολά όταν πρόκειται για την προέλευση της απειλής. Ένα πράγμα που είναι ξεκάθαρο είναι ότι η πρόθεση των δραστών είναι η κατασκοπεία και η κλοπή πνευματικής ιδιοκτησίας — ενδεχομένως μια ένδειξη για το είδος της απειλής, καθώς η κατασκοπεία είναι παραδοσιακά ο τομέας των προηγμένων επίμονων απειλών (APT).
Ωστόσο, τα αντικείμενα που μπόρεσε να αποκαλύψει η ESET από τις επιθέσεις δεν έδειξαν καμία σχέση με γνωστές επιχειρήσεις.
«Δεν μπορούσαμε να αποδώσουμε αυτήν την καμπάνια σε μια γνωστή ομάδα, ούτε από την ομοιότητα του κώδικα ή την υποδομή», λέει ο M.Léveillé.
Μια άλλη ένδειξη: Η καμπάνια είναι επίσης αυστηρά στοχευμένη - συνήθως το χαρακτηριστικό γνώρισμα πιο εξελιγμένων ηθοποιών.
«Τα μεταδεδομένα από λογαριασμούς αποθήκευσης cloud που χρησιμοποιήθηκαν από το CloudMensis αποκάλυψαν ότι τα δείγματα που αναλύσαμε έχουν τρέξει σε 51 Mac μεταξύ 4 Φεβρουαρίου και 22 Απριλίου», λέει ο M.Léveillé. Δυστυχώς, «δεν έχουμε πληροφορίες σχετικά με τη γεωγραφική τοποθεσία ή την κατακόρυφη θέση των θυμάτων, επειδή τα αρχεία διαγράφονται από το χώρο αποθήκευσης cloud».
Ωστόσο, αντιμέτωποι με τις πτυχές της καμπάνιας με APT, το επίπεδο πολυπλοκότητας του ίδιου του κακόβουλου λογισμικού δεν είναι τόσο εντυπωσιακό, σημείωσε η ESET.
«Η γενική ποιότητα του κώδικα και η έλλειψη συσκότισης δείχνουν ότι οι συγγραφείς μπορεί να μην είναι πολύ εξοικειωμένοι με την ανάπτυξη Mac και να μην είναι τόσο προχωρημένοι», σύμφωνα με η αναφορά.
Ο M.Léveillé χαρακτηρίζει το CloudMensis ως μια μεσαία προηγμένη απειλή και σημείωσε ότι σε αντίθεση με Το τρομερό λογισμικό κατασκοπείας Pegasus της NSO Group, το CloudMensis δεν δημιουργεί κανένα exploits zero-day στον κώδικά του.
«Δεν είδαμε το CloudMensis να χρησιμοποιεί άγνωστα τρωτά σημεία για να παρακάμψει τα εμπόδια ασφαλείας της Apple», λέει ο M.Léveillé. «Ωστόσο, διαπιστώσαμε ότι το CloudMensis χρησιμοποίησε γνωστές ευπάθειες (επίσης γνωστές ως one-day ή n-day) σε Mac που δεν εκτελούν την πιο πρόσφατη έκδοση του macOS [για να παρακάμψουν τους μετριασμούς ασφαλείας]. Δεν γνωρίζουμε πώς είναι εγκατεστημένο το λογισμικό υποκλοπής CloudMensis στους Mac των θυμάτων, επομένως ίσως χρησιμοποιούν άγνωστα τρωτά σημεία για αυτόν τον σκοπό, αλλά μπορούμε μόνο να κάνουμε εικασίες. Αυτό τοποθετεί το CloudMensis κάπου στη μέση της κλίμακας της πολυπλοκότητας, περισσότερο από το μέσο όρο, αλλά όχι και το πιο εξελιγμένο».
Πώς να προστατέψετε την επιχείρησή σας από το CloudMensis και το Spyware
Για να αποφύγετε να γίνετε θύμα της απειλής του CloudMensis, η χρήση τρωτών σημείων για τον μετριασμό του macOS σημαίνει ότι η λειτουργία ενημερωμένων Mac είναι η πρώτη γραμμή άμυνας για τις επιχειρήσεις, σύμφωνα με την ESET. Αν και το διάνυσμα αρχικού συμβιβασμού δεν είναι γνωστό σε αυτήν την περίπτωση, η εφαρμογή όλων των υπολοίπων βασικών, όπως ισχυροί κωδικοί πρόσβασης και εκπαίδευση ευαισθητοποίησης για το ηλεκτρονικό ψάρεμα είναι επίσης μια καλή άμυνα.
Οι ερευνητές συνέστησαν επίσης την ενεργοποίηση Η νέα λειτουργία κλειδώματος της Apple χαρακτηριστικό.
«Η Apple αναγνώρισε πρόσφατα την παρουσία spyware που στοχεύει χρήστες των προϊόντων της και προβαίνει σε προεπισκόπηση της λειτουργίας Lockdown σε iOS, iPadOS και macOS, η οποία απενεργοποιεί λειτουργίες που χρησιμοποιούνται συχνά για την απόκτηση εκτέλεσης κώδικα και την ανάπτυξη κακόβουλου λογισμικού», σύμφωνα με την ανάλυση. "Η απενεργοποίηση των σημείων εισόδου, σε βάρος μιας λιγότερο ρευστή εμπειρίας χρήστη, ακούγεται σαν ένας λογικός τρόπος για να μειωθεί η επιφάνεια επίθεσης."
Πάνω απ 'όλα, η M.Léveillé προειδοποιεί τις επιχειρήσεις να μην παρασύρονται σε μια ψευδή αίσθηση ασφάλειας όταν πρόκειται για Mac. Ενώ το κακόβουλο λογισμικό που στοχεύει Mac ήταν παραδοσιακά λιγότερο διαδεδομένο από τις απειλές Windows ή Linux, αυτό αλλάζει τώρα.
«Οι επιχειρήσεις που χρησιμοποιούν Mac στο στόλο τους θα πρέπει να τους προστατεύουν με τον ίδιο τρόπο που θα προστατεύουν τους υπολογιστές με Windows ή οποιοδήποτε άλλο λειτουργικό σύστημα», προειδοποιεί. «Με τις πωλήσεις Mac να αυξάνονται χρόνο με το χρόνο, οι χρήστες τους έχουν γίνει ένας ενδιαφέρον στόχος για εγκληματίες με οικονομικά κίνητρα. Οι ομάδες απειλών που χρηματοδοτούνται από το κράτος έχουν επίσης τους πόρους για να προσαρμοστούν στους στόχους τους και να αναπτύξουν το κακόβουλο λογισμικό που χρειάζονται για να εκπληρώσουν τις αποστολές τους, ανεξάρτητα από το λειτουργικό σύστημα».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
