جاسوس‌افزار macOS اسرارآمیز و مجهز به فضای ابری وارد صحنه می‌شود

یک نرم افزار جاسوسی MacOS که قبلا ناشناخته بود، در یک کمپین بسیار هدفمند ظاهر شده است که اسناد، فشار دادن کلید، عکس برداری از صفحه نمایش و موارد دیگر را از دستگاه های اپل استخراج می کند. جالب اینجاست که منحصراً از خدمات ذخیره‌سازی ابری عمومی برای محموله‌های مسکن و ارتباطات فرمان و کنترل (C2) استفاده می‌کند - یک انتخاب طراحی غیرمعمول که ردیابی و تحلیل تهدید را دشوار می‌کند.

این درب پشتی که توسط محققان ESET که آن را کشف کردند، CloudMensis نامیده اند، در Objective-C توسعه یافته است. تجزیه و تحلیل ESET از بدافزار منتشر شده در این هفته نشان می دهد که پس از مصالحه اولیه، مهاجمان سایبری در پشت کمپین با استفاده از آسیب پذیری های شناخته شده، اجرای کد و افزایش امتیازات را به دست می آورند. سپس، آنها یک جزء لودر مرحله اول را نصب می کنند که بار واقعی نرم افزارهای جاسوسی را از یک ارائه دهنده ذخیره سازی ابری بازیابی می کند. در نمونه مورد تجزیه و تحلیل شرکت، از pCloud برای ذخیره و تحویل مرحله دوم استفاده شد، اما بدافزار از Dropbox و Yandex به عنوان مخازن ابری نیز پشتیبانی می‌کند.

سپس بخش جاسوسی مجموعه‌ای از داده‌های حساس را از مک در معرض خطر جمع‌آوری می‌کند، از جمله فایل‌ها، پیوست‌های ایمیل، پیام‌ها، ضبط‌های صوتی و فشار دادن کلید. در مجموع، محققان گفتند که از 39 فرمان مختلف، از جمله دستورالعملی برای دانلود بدافزار اضافی، پشتیبانی می کند.

تمام داده های به دست آمده با استفاده از یک کلید عمومی موجود در عامل جاسوسی رمزگذاری شده است. و طبق گفته ESET، برای رمزگشایی به یک کلید خصوصی متعلق به اپراتورهای CloudMensis نیاز دارد.

نرم افزارهای جاسوسی در فضای ابری

با توجه به تجزیه و تحلیل، مهمترین جنبه این کمپین، به غیر از این واقعیت که جاسوس افزار مک یک یافته نادر است، استفاده انحصاری آن از فضای ذخیره سازی ابری است.

Marc-Etienne M.Léveillé، محقق ارشد بدافزار در ESET، به Dark Reading توضیح می دهد: «مخالفان CloudMensis در ارائه دهندگان ذخیره سازی ابری مانند Dropbox یا pCloud حساب ایجاد می کنند. «جاسوس‌افزار CloudMensis حاوی توکن‌های احراز هویت است که به آن‌ها اجازه می‌دهد فایل‌ها را از این حساب‌ها آپلود و دانلود کنند. هنگامی که اپراتورها می خواهند دستوری را به یکی از ربات های آن ارسال کنند، یک فایل را در فضای ذخیره سازی ابری آپلود می کنند. عامل جاسوسی CloudMensis آن فایل را واکشی می کند، آن را رمزگشایی می کند و دستور را اجرا می کند. نتیجه دستور رمزگذاری شده و در فضای ذخیره‌سازی ابری آپلود می‌شود تا اپراتورها آن را دانلود و رمزگشایی کنند.

این تکنیک به این معنی است که در نمونه‌های بدافزار هیچ نام دامنه یا آدرس IP وجود ندارد، او می‌افزاید: «عدم وجود چنین شاخصی ردیابی زیرساخت و مسدود کردن CloudMensis در سطح شبکه را دشوار می‌کند.»

اگرچه یک رویکرد قابل توجه است، اما قبلاً در دنیای رایانه شخصی توسط گروه هایی مانند استفاده شده است آغاز به کار (با نام مستعار Cloud Atlas) و APT37 (با نام مستعار ریپر یا گروه 123). با این حال، M.Léveillé خاطرنشان می کند: "من فکر می کنم این اولین بار است که ما آن را در بدافزار Mac می بینیم."

اسناد، قربانی شناسی یک راز باقی می ماند

تا اینجا، وقتی نوبت به منشأ تهدید می‌رسد، اوضاع تاریک است. یک چیزی که واضح است این است که قصد مجرمان جاسوسی و سرقت مالکیت معنوی است - به طور بالقوه سرنخی برای نوع تهدید، زیرا جاسوسی به طور سنتی دامنه تهدیدات پیشرفته پیشرفته (APTs) است.

با این حال ، مصنوعات ESET قادر به کشف این حملات نبودند و هیچ ارتباطی با عملیات شناخته شده نشان ندادند.

M.Léveillé می گوید: "ما نمی توانیم این کمپین را به یک گروه شناخته شده و نه از شباهت کد یا زیرساخت ها نسبت دهیم."

سرنخ دیگر: این کمپین نیز کاملاً هدفمند است - معمولاً مشخصه بازیگران پیشرفته تر.

M.Léveillé می‌گوید: «فراداده‌های حساب‌های ذخیره‌سازی ابری مورد استفاده توسط CloudMensis نشان داد که نمونه‌هایی که ما آنالیز کردیم بر روی 51 Mac بین 4 فوریه و 22 آوریل اجرا شده است. متأسفانه، "ما هیچ اطلاعاتی در مورد موقعیت جغرافیایی یا عمودی قربانیان نداریم زیرا فایل ها از فضای ذخیره سازی ابری حذف می شوند."

با این حال، ESET خاطرنشان کرد، برای مقابله با جنبه‌های APT-ish کمپین، سطح پیچیدگی خود بدافزار چندان چشمگیر نیست.

با توجه به اینکه "کیفیت کلی کد و عدم مبهم بودن نشان می دهد که نویسندگان ممکن است چندان با توسعه مک آشنا نباشند و چندان پیشرفته نباشند." گزارش.

M.Léveillé CloudMensis را به عنوان یک تهدید متوسط ​​پیشرفته توصیف می کند و خاطرنشان کرد که بر خلاف نرم افزار جاسوسی قدرتمند Pegasus گروه NSO، CloudMensis هیچ گونه سوءاستفاده ای از روز را در کد خود ایجاد نمی کند.

M.Léveillé می‌گوید: «ما ندیدیم که CloudMensis از آسیب‌پذیری‌های فاش نشده برای دور زدن موانع امنیتی اپل استفاده کند. با این حال، ما متوجه شدیم که CloudMensis از آسیب‌پذیری‌های شناخته شده (همچنین به عنوان یک روزه یا n-روزه) در مک‌هایی استفاده می‌کند که آخرین نسخه macOS را اجرا نمی‌کنند [برای دور زدن کاهش‌های امنیتی]. ما نمی دانیم که چگونه نرم افزار جاسوسی CloudMensis بر روی Mac قربانیان نصب می شود، بنابراین شاید آنها از آسیب پذیری های نامشخص برای این منظور استفاده می کنند، اما ما فقط می توانیم حدس بزنیم. این امر CloudMensis را جایی در میانه مقیاس پیچیدگی قرار می دهد، بیش از حد متوسط، اما نه پیچیده ترین آنها.

چگونه می توان از تجارت خود در برابر CloudMensis و جاسوسی محافظت کرد

به گفته ESET، برای جلوگیری از قربانی شدن تهدید CloudMensis، استفاده از آسیب‌پذیری‌ها برای مقابله با کاهش‌دهنده‌های macOS به این معنی است که به‌روزرسانی مک‌ها اولین خط دفاعی برای کسب‌وکارها است. اگرچه بردار سازش اولیه در این مورد مشخص نیست، پیاده سازی بقیه اصول اولیه مانند رمزهای عبور قوی و آموزش آگاهی از فیشینگ نیز دفاع خوبی است.

محققان همچنین روشن کردن را توصیه کردند حالت قفل جدید اپل ویژگی.

طبق این تحلیل، اپل اخیراً حضور جاسوس‌افزارهایی را که کاربران محصولاتش را هدف قرار می‌دهند اذعان کرده است و در حال پیش‌نمایش حالت Lockdown در iOS، iPadOS و macOS است که ویژگی‌هایی را که اغلب برای به دست آوردن اجرای کد و استقرار بدافزار مورد سوء استفاده قرار می‌گیرند، غیرفعال می‌کند. غیرفعال کردن نقاط ورود، به قیمت تجربه کاربری کمتر روان، راهی معقول برای کاهش سطح حمله به نظر می رسد.

مهم‌تر از همه، M.Léveillé به کسب‌وکارها هشدار می‌دهد که وقتی نوبت به مک‌ها می‌رسد، احساس امنیت کاذب نکنند. در حالی که بدافزار هدف قرار دادن مک ها به طور سنتی کمتر از تهدیدات ویندوز یا لینوکس بوده است. که اکنون در حال تغییر است.

او هشدار می دهد: «کسب و کارهایی که از رایانه های مک در ناوگان خود استفاده می کنند، باید همان گونه که از رایانه های دارای ویندوز یا هر سیستم عامل دیگری محافظت می کنند، از آنها محافظت کنند. "با افزایش فروش مک سال به سال، کاربران آنها به یک هدف جالب برای مجرمان با انگیزه مالی تبدیل شده اند. گروه‌های تهدید تحت حمایت دولت نیز منابعی برای تطبیق با اهداف خود و توسعه بدافزار مورد نیاز برای انجام مأموریت‌های خود، بدون توجه به سیستم عامل، دارند.