Varem tundmatu MacOS-i nuhkvara on esile kerkinud väga sihitud kampaania käigus, mis eemaldab Apple'i masinatest dokumendid, klahvivajutused, ekraanipildid ja palju muud. Huvitav on see, et see kasutab eranditult avalikke pilvesalvestusteenuseid kasulike koormate hoidmiseks ja käsu- ja juhtimissuhtluseks (C2) – ebatavaline disainivalik, mis muudab ohu jälgimise ja analüüsimise keeruliseks.
Tagauks, mille avastanud ESET-i teadlased nimetasid CloudMensis, töötati välja Objective-C-s. ESET-i sel nädalal avaldatud pahavara analüüs näitab, et pärast esialgset kompromissi saavutavad kampaania taga olevad küberründajad koodi täitmise ja privileegide eskalatsiooni, kasutades teadaolevaid turvaauke. Seejärel installivad nad esimese etapi laadimiskomponendi, mis hangib pilvesalvestuse pakkujalt tegeliku nuhkvara kasuliku koormuse. Ettevõtte analüüsitud proovis kasutati teise etapi salvestamiseks ja edastamiseks pCloudi, kuid pahavara toetab pilvehoidlatena ka Dropboxi ja Yandexi.
Seejärel hakkab spioonikomponent koguma ohustatud Macist hulga tundlikke andmeid, sealhulgas faile, meilimanuseid, sõnumeid, helisalvestisi ja klahvivajutusi. Teadlaste sõnul toetab see 39 erinevat käsku, sealhulgas direktiivi täiendava pahavara allalaadimiseks.
Kõik ebaseaduslikult hangitud andmed krüpteeritakse spioonagendist leitud avaliku võtmega; ja selle dekrüpteerimiseks on ESET-i andmetel vaja privaatvõtit, mis kuulub CloudMensise operaatoritele.
Nuhkvara pilves
Analüüsi kohaselt on kampaania kõige tähelepanuväärsem aspekt peale selle, et Maci nuhkvara on haruldane leid, ainult pilvesalvestuse kasutamine.
„CloudMensise toimepanijad loovad kontosid pilvesalvestuse pakkujatele, nagu Dropbox või pCloud,“ selgitab ESET-i pahavara vanemteadur Marc-Etienne M.Léveillé Dark Readingile. "CloudMensise nuhkvara sisaldab autentimismärke, mis võimaldavad neil nendelt kontodelt faile üles laadida ja alla laadida. Kui operaatorid soovivad saata ühele selle robotitest käsu, laadivad nad faili pilvmällu üles. CloudMensise spiooniagent toob selle faili, dekrüpteerib selle ja käivitab käsu. Käsu tulemus krüpteeritakse ja laaditakse üles pilvesalvestusse, et operaatorid saaksid alla laadida ja dekrüpteerida.
See meetod tähendab, et pahavara näidistel pole domeeninime ega IP-aadressi, lisab ta: "Sellise indikaatori puudumine muudab infrastruktuuri jälgimise ja CloudMensise blokeerimise võrgu tasemel keeruliseks."
Kuigi see on tähelepanuväärne lähenemisviis, on seda arvutimaailmas varem kasutanud sellised rühmad nagu Teke (teise nimega Pilveatlas) ja APT37 (teise nimega Reaper ehk rühm 123). Kuid "Ma arvan, et see on esimene kord, kui me seda Maci pahavara puhul näeme," märgib M.Léveillé.
Omistamine, viktimoloogia jäävad saladuseks
Seni on ohu päritolu osas asjad hägused. Üks selge on see, et kurjategijate eesmärk on spionaaž ja intellektuaalomandi vargus – potentsiaalselt vihje ohu tüübile, kuna luuramine on traditsiooniliselt arenenud püsivate ohtude (APT) valdkond.
Artefaktid, mille ESET suutis rünnakutest paljastada, ei näidanud aga mingit seost teadaolevate toimingutega.
"Me ei saanud seda kampaaniat omistada tuntud rühmale ei koodi sarnasuse ega infrastruktuuri tõttu," ütleb M.Léveillé.
Veel üks vihje: kampaania on samuti täpselt sihitud – tavaliselt on see keerukamate näitlejate tunnus.
"CloudMensise kasutatud pilvesalvestuskontode metaandmed näitasid, et meie analüüsitud proovid on 51. veebruarist 4. aprillini töötatud 22 Macis," ütleb M.Léveillé. Kahjuks "meil pole teavet ohvrite geograafilise asukoha ega vertikaali kohta, kuna failid kustutatakse pilvesalvestusest."
Kampaania APT-like aspektide vastu võitlemisel ei ole pahavara keerukuse tase aga kuigi muljetavaldav, märkis ESET.
"Koodi üldine kvaliteet ja hägustamise puudumine näitavad, et autorid ei pruugi olla Maci arendusega väga kursis ega ole nii edasijõudnud," ütles ta. aruande.
M.Léveillé iseloomustab CloudMensist kui keskmiselt arenenud ohtu ja märkis, et erinevalt NSO Groupi võimas Pegasuse nuhkvara, CloudMensis ei ehita oma koodi sisse nullpäevaseid eksploite.
"Me ei näinud, et CloudMensis kasutaks Apple'i turvatõketest mööda hiilimiseks avalikustamata haavatavusi," ütleb M.Léveillé. "Kuid me avastasime, et CloudMensis kasutas teadaolevaid haavatavusi (tuntud ka kui ühepäevane või n-päevane) Mac-arvutites, mis ei käita MacOS-i uusimat versiooni [turvameetmetest möödahiilimiseks]. Me ei tea, kuidas CloudMensise nuhkvara ohvrite Mac-arvutitesse installitakse, nii et võib-olla kasutavad nad sel eesmärgil avalikustamata turvaauke, kuid me võime ainult oletada. See asetab CloudMensise keerukuse skaalal kuskile keskele, keskmisest rohkem, kuid mitte ka kõige keerukama.
Kuidas kaitsta oma ettevõtet CloudMensise ja nuhkvara eest
Et vältida CloudMensise ohu ohvriks langemist, tähendab haavatavuste kasutamine macOS-i leevenduste vältimiseks seda, et ajakohastatud Macide käitamine on ESET-i andmetel ettevõtete jaoks esimene kaitseliin. Kuigi algset kompromissi vektorit sel juhul ei teata, on hea kaitse ka kõigi ülejäänud põhitõdede (nt tugevad paroolid ja andmepüügiteadlikkuse koolitus) rakendamine.
Teadlased soovitasid ka sisse lülitada Apple'i uus lukustusrežiim funktsioon.
"Apple tunnistas hiljuti oma toodete kasutajaid sihiva nuhkvara olemasolu ja vaatab iOS-is, iPadOS-is ja macOS-is lukustusrežiimi, mis keelab funktsioonid, mida sageli kasutatakse koodi täitmiseks ja pahavara juurutamiseks," selgub analüüsist. "Sisenemispunktide keelamine vähem sujuva kasutuskogemuse arvelt kõlab mõistliku viisina rünnakupinna vähendamiseks."
Eelkõige hoiatab M.Léveillé ettevõtjaid, et nad ei uinutaks Macide puhul võltsturvatundesse. Kuigi Macidele suunatud pahavara on traditsiooniliselt olnud vähem levinud kui Windowsi või Linuxi ohud, see on nüüd muutumas.
"Ettevõtted, kes kasutavad oma masinapargis Mace, peaksid neid kaitsma samamoodi nagu Windowsi või muid operatsioonisüsteeme kasutavaid arvuteid," hoiatab ta. „Kuna Maci müük kasvab aasta-aastalt, on nende kasutajatest saanud huvitav sihtmärk rahaliselt motiveeritud kurjategijatele. Riigi toetatud ohurühmadel on ka ressursid, et kohaneda oma sihtmärkidega ja arendada pahavara, mida nad vajavad oma ülesannete täitmiseks, sõltumata operatsioonisüsteemist.
