یک نرم افزار جاسوسی MacOS که قبلا ناشناخته بود، در یک کمپین بسیار هدفمند ظاهر شده است که اسناد، فشار دادن کلید، عکس برداری از صفحه نمایش و موارد دیگر را از دستگاه های اپل استخراج می کند. جالب اینجاست که منحصراً از خدمات ذخیرهسازی ابری عمومی برای محمولههای مسکن و ارتباطات فرمان و کنترل (C2) استفاده میکند - یک انتخاب طراحی غیرمعمول که ردیابی و تحلیل تهدید را دشوار میکند.
این درب پشتی که توسط محققان ESET که آن را کشف کردند، CloudMensis نامیده اند، در Objective-C توسعه یافته است. تجزیه و تحلیل ESET از بدافزار منتشر شده در این هفته نشان می دهد که پس از مصالحه اولیه، مهاجمان سایبری در پشت کمپین با استفاده از آسیب پذیری های شناخته شده، اجرای کد و افزایش امتیازات را به دست می آورند. سپس، آنها یک جزء لودر مرحله اول را نصب می کنند که بار واقعی نرم افزارهای جاسوسی را از یک ارائه دهنده ذخیره سازی ابری بازیابی می کند. در نمونه مورد تجزیه و تحلیل شرکت، از pCloud برای ذخیره و تحویل مرحله دوم استفاده شد، اما بدافزار از Dropbox و Yandex به عنوان مخازن ابری نیز پشتیبانی میکند.
سپس بخش جاسوسی مجموعهای از دادههای حساس را از مک در معرض خطر جمعآوری میکند، از جمله فایلها، پیوستهای ایمیل، پیامها، ضبطهای صوتی و فشار دادن کلید. در مجموع، محققان گفتند که از 39 فرمان مختلف، از جمله دستورالعملی برای دانلود بدافزار اضافی، پشتیبانی می کند.
تمام داده های به دست آمده با استفاده از یک کلید عمومی موجود در عامل جاسوسی رمزگذاری شده است. و طبق گفته ESET، برای رمزگشایی به یک کلید خصوصی متعلق به اپراتورهای CloudMensis نیاز دارد.
نرم افزارهای جاسوسی در فضای ابری
با توجه به تجزیه و تحلیل، مهمترین جنبه این کمپین، به غیر از این واقعیت که جاسوس افزار مک یک یافته نادر است، استفاده انحصاری آن از فضای ذخیره سازی ابری است.
Marc-Etienne M.Léveillé، محقق ارشد بدافزار در ESET، به Dark Reading توضیح می دهد: «مخالفان CloudMensis در ارائه دهندگان ذخیره سازی ابری مانند Dropbox یا pCloud حساب ایجاد می کنند. «جاسوسافزار CloudMensis حاوی توکنهای احراز هویت است که به آنها اجازه میدهد فایلها را از این حسابها آپلود و دانلود کنند. هنگامی که اپراتورها می خواهند دستوری را به یکی از ربات های آن ارسال کنند، یک فایل را در فضای ذخیره سازی ابری آپلود می کنند. عامل جاسوسی CloudMensis آن فایل را واکشی می کند، آن را رمزگشایی می کند و دستور را اجرا می کند. نتیجه دستور رمزگذاری شده و در فضای ذخیرهسازی ابری آپلود میشود تا اپراتورها آن را دانلود و رمزگشایی کنند.
این تکنیک به این معنی است که در نمونههای بدافزار هیچ نام دامنه یا آدرس IP وجود ندارد، او میافزاید: «عدم وجود چنین شاخصی ردیابی زیرساخت و مسدود کردن CloudMensis در سطح شبکه را دشوار میکند.»
اگرچه یک رویکرد قابل توجه است، اما قبلاً در دنیای رایانه شخصی توسط گروه هایی مانند استفاده شده است آغاز به کار (با نام مستعار Cloud Atlas) و APT37 (با نام مستعار ریپر یا گروه 123). با این حال، M.Léveillé خاطرنشان می کند: "من فکر می کنم این اولین بار است که ما آن را در بدافزار Mac می بینیم."
اسناد، قربانی شناسی یک راز باقی می ماند
تا اینجا، وقتی نوبت به منشأ تهدید میرسد، اوضاع تاریک است. یک چیزی که واضح است این است که قصد مجرمان جاسوسی و سرقت مالکیت معنوی است - به طور بالقوه سرنخی برای نوع تهدید، زیرا جاسوسی به طور سنتی دامنه تهدیدات پیشرفته پیشرفته (APTs) است.
با این حال ، مصنوعات ESET قادر به کشف این حملات نبودند و هیچ ارتباطی با عملیات شناخته شده نشان ندادند.
M.Léveillé می گوید: "ما نمی توانیم این کمپین را به یک گروه شناخته شده و نه از شباهت کد یا زیرساخت ها نسبت دهیم."
سرنخ دیگر: این کمپین نیز کاملاً هدفمند است - معمولاً مشخصه بازیگران پیشرفته تر.
M.Léveillé میگوید: «فرادادههای حسابهای ذخیرهسازی ابری مورد استفاده توسط CloudMensis نشان داد که نمونههایی که ما آنالیز کردیم بر روی 51 Mac بین 4 فوریه و 22 آوریل اجرا شده است. متأسفانه، "ما هیچ اطلاعاتی در مورد موقعیت جغرافیایی یا عمودی قربانیان نداریم زیرا فایل ها از فضای ذخیره سازی ابری حذف می شوند."
با این حال، ESET خاطرنشان کرد، برای مقابله با جنبههای APT-ish کمپین، سطح پیچیدگی خود بدافزار چندان چشمگیر نیست.
با توجه به اینکه "کیفیت کلی کد و عدم مبهم بودن نشان می دهد که نویسندگان ممکن است چندان با توسعه مک آشنا نباشند و چندان پیشرفته نباشند." گزارش.
M.Léveillé CloudMensis را به عنوان یک تهدید متوسط پیشرفته توصیف می کند و خاطرنشان کرد که بر خلاف نرم افزار جاسوسی قدرتمند Pegasus گروه NSO، CloudMensis هیچ گونه سوءاستفاده ای از روز را در کد خود ایجاد نمی کند.
M.Léveillé میگوید: «ما ندیدیم که CloudMensis از آسیبپذیریهای فاش نشده برای دور زدن موانع امنیتی اپل استفاده کند. با این حال، ما متوجه شدیم که CloudMensis از آسیبپذیریهای شناخته شده (همچنین به عنوان یک روزه یا n-روزه) در مکهایی استفاده میکند که آخرین نسخه macOS را اجرا نمیکنند [برای دور زدن کاهشهای امنیتی]. ما نمی دانیم که چگونه نرم افزار جاسوسی CloudMensis بر روی Mac قربانیان نصب می شود، بنابراین شاید آنها از آسیب پذیری های نامشخص برای این منظور استفاده می کنند، اما ما فقط می توانیم حدس بزنیم. این امر CloudMensis را جایی در میانه مقیاس پیچیدگی قرار می دهد، بیش از حد متوسط، اما نه پیچیده ترین آنها.
چگونه می توان از تجارت خود در برابر CloudMensis و جاسوسی محافظت کرد
به گفته ESET، برای جلوگیری از قربانی شدن تهدید CloudMensis، استفاده از آسیبپذیریها برای مقابله با کاهشدهندههای macOS به این معنی است که بهروزرسانی مکها اولین خط دفاعی برای کسبوکارها است. اگرچه بردار سازش اولیه در این مورد مشخص نیست، پیاده سازی بقیه اصول اولیه مانند رمزهای عبور قوی و آموزش آگاهی از فیشینگ نیز دفاع خوبی است.
محققان همچنین روشن کردن را توصیه کردند حالت قفل جدید اپل ویژگی.
طبق این تحلیل، اپل اخیراً حضور جاسوسافزارهایی را که کاربران محصولاتش را هدف قرار میدهند اذعان کرده است و در حال پیشنمایش حالت Lockdown در iOS، iPadOS و macOS است که ویژگیهایی را که اغلب برای به دست آوردن اجرای کد و استقرار بدافزار مورد سوء استفاده قرار میگیرند، غیرفعال میکند. غیرفعال کردن نقاط ورود، به قیمت تجربه کاربری کمتر روان، راهی معقول برای کاهش سطح حمله به نظر می رسد.
مهمتر از همه، M.Léveillé به کسبوکارها هشدار میدهد که وقتی نوبت به مکها میرسد، احساس امنیت کاذب نکنند. در حالی که بدافزار هدف قرار دادن مک ها به طور سنتی کمتر از تهدیدات ویندوز یا لینوکس بوده است. که اکنون در حال تغییر است.
او هشدار می دهد: «کسب و کارهایی که از رایانه های مک در ناوگان خود استفاده می کنند، باید همان گونه که از رایانه های دارای ویندوز یا هر سیستم عامل دیگری محافظت می کنند، از آنها محافظت کنند. "با افزایش فروش مک سال به سال، کاربران آنها به یک هدف جالب برای مجرمان با انگیزه مالی تبدیل شده اند. گروههای تهدید تحت حمایت دولت نیز منابعی برای تطبیق با اهداف خود و توسعه بدافزار مورد نیاز برای انجام مأموریتهای خود، بدون توجه به سیستم عامل، دارند.