Aiemmin tuntematon macOS-vakoiluohjelma on noussut esiin tarkasti kohdistetussa kampanjassa, joka suodattaa asiakirjoja, näppäinpainalluksia, näyttökaappauksia ja paljon muuta Applen koneista. Mielenkiintoista on, että se käyttää yksinomaan julkisia pilvitallennuspalveluita hyötykuormien säilyttämiseen ja komento- ja ohjausviestintään (C2). Tämä on epätavallinen suunnitteluvalinta, joka vaikeuttaa uhan jäljittämistä ja analysointia.
Sen löytäneet ESETin tutkijat kutsuivat CloudMensikseksi takaoven, joka kehitettiin Objective-C:ssä. ESETin tällä viikolla julkaistujen haittaohjelmien analyysi osoittaa, että ensimmäisen kompromissin jälkeen kampanjan takana olevat kyberhyökkääjät saavat koodin suorittamisen ja oikeuksien eskaloinnin tunnettujen haavoittuvuuksien avulla. Sitten he asentavat ensimmäisen vaiheen latauskomponentin, joka hakee todellisen vakoiluohjelmien hyötykuorman pilvitallennuspalvelun tarjoajalta. Yrityksen analysoimassa otoksessa pCloudia käytettiin toisen vaiheen tallentamiseen ja toimittamiseen, mutta haittaohjelma tukee myös Dropboxia ja Yandexiä pilvivarastoina.
Vakoilukomponentti ryhtyy sitten keräämään arkaluontoisia tietoja vaarantuneelta Macilta, mukaan lukien tiedostot, sähköpostin liitteet, viestit, äänitallenteet ja näppäinpainallukset. Kaiken kaikkiaan tutkijat sanoivat, että se tukee 39:ää eri komentoa, mukaan lukien direktiivi lisähaittaohjelmien lataamisesta.
Kaikki väärin hankitut tiedot salataan julkisella avaimella, joka löytyy vakoojaagentista; ja se vaatii salauksen purkamiseen ESETin mukaan yksityisen avaimen, jonka omistavat CloudMensis-operaattorit.
Vakoiluohjelmat pilvessä
Analyysin mukaan kampanjan huomattavin piirre, lukuun ottamatta sitä, että Mac-spyware on harvinainen löytö, on sen yksinomainen pilvitallennustilan käyttö.
"CloudMensis-tekijät luovat tilejä pilvitallennuspalvelujen tarjoajille, kuten Dropbox tai pCloud", Marc-Etienne M.Léveillé, ESETin vanhempi haittaohjelmien tutkija, selittää Dark Readingille. "CloudMensis-vakoiluohjelma sisältää todennustunnuksia, joiden avulla ne voivat ladata ja ladata tiedostoja näiltä tileiltä. Kun operaattorit haluavat lähettää komennon yhdelle sen boteista, he lataavat tiedoston pilvitallennustilaan. CloudMensis-vakoojaagentti hakee tiedoston, purkaa sen salauksen ja suorittaa komennon. Komennon tulos salataan ja ladataan pilvitallennustilaan, jotta operaattorit voivat ladata ja purkaa salauksen."
Tämä tekniikka tarkoittaa, että haittaohjelmanäytteissä ei ole verkkotunnuksen nimeä tai IP-osoitetta, hän lisää: "Tällaisen indikaattorin puuttuminen vaikeuttaa infrastruktuurin seurantaa ja CloudMensiksen estämistä verkkotasolla."
Vaikka se on merkittävä lähestymistapa, sitä ovat käyttäneet PC-maailmassa aiemmin mm Alku (alias Cloud Atlas) ja APT37 (alias Reaper tai Group 123). Kuitenkin "Luulen, että tämä on ensimmäinen kerta, kun näemme sen Mac-haittaohjelmissa", M.Léveillé huomauttaa.
Attribuutio, uhritutkimus on edelleen mysteeri
Toistaiseksi asiat ovat hämäriä, kun on kyse uhan alkuperästä. Yksi selvä asia on, että tekijöiden tarkoitus on vakoilu ja henkisen omaisuuden varkaus – mahdollisesti vihje uhkatyypistä, koska vakoilu on perinteisesti kehittyneiden pysyvien uhkien (APT) ala.
Artefaktit, jotka ESET pystyi paljastamaan hyökkäyksistä, eivät kuitenkaan osoittaneet mitään yhteyttä tunnettuihin toimintoihin.
"Emme voineet liittää tätä kampanjaa tunnettuun ryhmään, emme koodin samankaltaisuuden tai infrastruktuurin perusteella", M.Léveillé sanoo.
Toinen vihje: Kampanja on myös tiukasti kohdistettu – yleensä kehittyneempien toimijoiden tunnusmerkki.
"CloudMensiksen käyttämien pilvitallennustilien metatiedot paljastavat, että analysoimamme näytteet ovat olleet käytössä 51 Macissa 4. helmikuuta ja 22. huhtikuuta välisenä aikana", M.Léveillé sanoo. Valitettavasti "meillä ei ole tietoa uhrien maantieteellisestä sijainnista tai vertikaalista, koska tiedostot poistetaan pilvivarastosta."
Kampanjan APT-maisia puolia vastaan haittaohjelmien kehittyneisyys ei kuitenkaan ole niin vaikuttava, ESET huomautti.
"Koodin yleinen laatu ja hämärtymisen puute osoittavat, että kirjoittajat eivät ehkä ole kovinkaan perehtyneet Mac-kehitykseen eivätkä ole niin edistyneitä", sanoi. raportti.
M.Léveillé luonnehtii CloudMensisiä keskipitkän edistyneeksi uhkaksi ja huomautti, että toisin kuin NSO Groupin mahtava Pegasus-vakoiluohjelma, CloudMensis ei rakenna koodiinsa nollapäivän hyväksikäyttöä.
"Emme nähneet, että CloudMensis käyttäisi julkistamattomia haavoittuvuuksia Applen tietoturvaesteiden ohittamiseksi", sanoo M.Léveillé. "Huomasimme kuitenkin, että CloudMensis käytti tunnettuja haavoittuvuuksia (tunnetaan myös nimellä yksipäiväinen tai n-päivä) Mac-tietokoneissa, joissa ei käytetä uusinta macOS-versiota [ohittaakseen suojauskevennyksiä]. Emme tiedä, kuinka CloudMensis-vakoiluohjelma on asennettu uhrien Mac-tietokoneisiin, joten ehkä he käyttävät julkistamattomia haavoittuvuuksia tähän tarkoitukseen, mutta voimme vain spekuloida. Tämä sijoittaa CloudMensisin jonnekin keskitasoon hienostuneisuuden asteikolla, keskimääräistä enemmän, mutta ei myöskään kaikkein kehittyneimmällä."
Kuinka suojata yritystäsi CloudMensis- ja vakoiluohjelmilta
Jotta vältytään joutumasta CloudMensis-uhan uhriksi, haavoittuvuuksien käyttö macOS:n lieventämiskeinojen kiertämiseen tarkoittaa, että ajantasaisten Macien käyttö on ESETin mukaan ensimmäinen puolustuslinja yrityksille. Vaikka alkuperäistä kompromissivektoria ei tässä tapauksessa tunneta, kaikkien muiden perusasioiden, kuten vahvojen salasanojen ja phishing-tietoisuuden koulutuksen, käyttöönotto on myös hyvä puolustus.
Tutkijat suosittelivat myös kytkemistä päälle Applen uusi lukitustila ominaisuus.
"Apple on äskettäin tunnustanut tuotteidensa käyttäjiin kohdistuvien vakoiluohjelmien läsnäolon ja esikatselee iOS-, iPadOS- ja macOS-käyttöjärjestelmän lukitustilaa, joka poistaa käytöstä ominaisuuksia, joita usein käytetään koodin suorittamiseen ja haittaohjelmien käyttöönottamiseksi", analyysin mukaan. "Sisääntulopisteiden poistaminen käytöstä heikentyneen käyttökokemuksen kustannuksella kuulostaa järkevältä tavalta vähentää hyökkäyspintaa."
Ennen kaikkea M.Léveillé varoittaa yrityksiä tuudittautumasta väärään turvallisuuden tunteeseen Mac-tietokoneiden suhteen. Vaikka Mac-tietokoneisiin kohdistuvat haittaohjelmat ovat perinteisesti olleet vähemmän yleisiä kuin Windows- tai Linux-uhat, se on nyt muuttumassa.
"Maceja käyttävien yritysten tulee suojata niitä samalla tavalla kuin Windowsia tai muita käyttöjärjestelmiä käyttäviä tietokoneita", hän varoittaa. ”Macin myynnin kasvaessa vuosi vuodelta niiden käyttäjistä on tullut mielenkiintoinen kohde taloudellisesti motivoituneille rikollisille. Valtion tukemilla uhkaryhmillä on myös resurssit sopeutua kohteisiinsa ja kehittää haittaohjelmia, joita he tarvitsevat tehtäviensä suorittamiseen käyttöjärjestelmästä riippumatta.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
