एक पूर्व अज्ञात macOS स्पाइवेयर एक अत्यधिक लक्षित अभियान में सामने आया है, जो Apple मशीनों से दस्तावेज़, कीस्ट्रोक, स्क्रीन कैप्चर, और बहुत कुछ बहिष्कृत करता है। दिलचस्प बात यह है कि यह विशेष रूप से हाउसिंग पेलोड और कमांड-एंड-कंट्रोल (C2) संचार के लिए सार्वजनिक क्लाउड-स्टोरेज सेवाओं का उपयोग करता है - एक असामान्य डिजाइन विकल्प जो खतरे का पता लगाना और उसका विश्लेषण करना मुश्किल बनाता है।
ईएसईटी के शोधकर्ताओं द्वारा डब किए गए क्लाउडमेन्सिस जिन्होंने इसकी खोज की, पिछले दरवाजे को उद्देश्य-सी में विकसित किया गया था। इस सप्ताह जारी मैलवेयर के ईएसईटी के विश्लेषण से पता चलता है कि प्रारंभिक समझौता करने के बाद, अभियान के पीछे साइबर हमलावरों को ज्ञात कमजोरियों का उपयोग करके कोड निष्पादन और विशेषाधिकार वृद्धि प्राप्त होती है। फिर, वे एक प्रथम-चरण लोडर घटक स्थापित करते हैं जो क्लाउड स्टोरेज प्रदाता से वास्तविक स्पाइवेयर पेलोड को पुनः प्राप्त करता है। नमूने में फर्म ने विश्लेषण किया, pCloud का उपयोग दूसरे चरण को स्टोर करने और वितरित करने के लिए किया गया था, लेकिन मैलवेयर ड्रॉपबॉक्स और यांडेक्स को क्लाउड रिपॉजिटरी के रूप में भी समर्थन करता है।
जासूसी घटक तब समझौता किए गए मैक से संवेदनशील डेटा की एक आभासी कटाई के बारे में सेट करता है, जिसमें फाइलें, ईमेल संलग्नक, संदेश, ऑडियो रिकॉर्डिंग और कीस्ट्रोक शामिल हैं। कुल मिलाकर, शोधकर्ताओं ने कहा कि यह 39 अलग-अलग कमांड का समर्थन करता है, जिसमें अतिरिक्त मैलवेयर डाउनलोड करने का निर्देश भी शामिल है।
सभी गलत तरीके से प्राप्त किए गए डेटा को जासूसी एजेंट में पाई जाने वाली सार्वजनिक कुंजी का उपयोग करके एन्क्रिप्ट किया जाता है; और ईएसईटी के अनुसार, इसके डिक्रिप्शन के लिए क्लाउडमेन्सिस ऑपरेटरों के स्वामित्व वाली एक निजी कुंजी की आवश्यकता होती है।
क्लाउड में स्पाइवेयर
अभियान का सबसे उल्लेखनीय पहलू, इस तथ्य के अलावा कि मैक स्पाइवेयर एक दुर्लभ खोज है, विश्लेषण के अनुसार, क्लाउड स्टोरेज का इसका विशेष उपयोग है।
"क्लाउडमेन्सिस अपराधी ड्रॉपबॉक्स या पीक्लाउड जैसे क्लाउड-स्टोरेज प्रदाताओं पर खाते बनाते हैं," ईएसईटी के वरिष्ठ मैलवेयर शोधकर्ता मार्क-एटिने एम.लेविल्ले, डार्क रीडिंग को बताते हैं। "क्लाउडमेन्सिस स्पाइवेयर में प्रमाणीकरण टोकन होते हैं जो उन्हें इन खातों से फाइल अपलोड और डाउनलोड करने की अनुमति देते हैं। जब ऑपरेटर इसके किसी बॉट को कमांड भेजना चाहते हैं, तो वे क्लाउड स्टोरेज में एक फाइल अपलोड करते हैं। CloudMensis जासूस एजेंट उस फ़ाइल को लाएगा, उसे डिक्रिप्ट करेगा, और कमांड चलाएगा। कमांड का परिणाम एन्क्रिप्ट किया गया है और ऑपरेटरों को डाउनलोड और डिक्रिप्ट करने के लिए क्लाउड स्टोरेज पर अपलोड किया गया है।
इस तकनीक का मतलब है कि मैलवेयर के नमूनों में कोई डोमेन नाम या आईपी पता नहीं है, वह कहते हैं: "इस तरह के संकेतक की अनुपस्थिति से बुनियादी ढांचे को ट्रैक करना और नेटवर्क स्तर पर क्लाउडमेन्सिस को ब्लॉक करना मुश्किल हो जाता है।"
एक उल्लेखनीय दृष्टिकोण के रूप में, इसका उपयोग पीसी की दुनिया में पहले जैसे समूहों द्वारा किया गया है आरंभ (उर्फ क्लाउड एटलस) और APT37 (उर्फ रीपर या समूह 123)। हालाँकि, "मुझे लगता है कि यह पहली बार है जब हमने इसे मैक मैलवेयर में देखा है," M.Lévillé नोट करता है।
एट्रिब्यूशन, विक्टिमोलॉजी एक रहस्य बनी हुई है
अब तक, जब खतरे की उत्पत्ति की बात आती है, तो चीजें ठीक हैं, बादल छाए हुए हैं। एक बात स्पष्ट है कि अपराधियों का इरादा जासूसी और बौद्धिक संपदा की चोरी है - संभावित रूप से खतरे के प्रकार के रूप में एक सुराग, क्योंकि जासूसी परंपरागत रूप से उन्नत लगातार खतरों (एपीटी) का डोमेन है।
हालांकि, ईएसईटी हमलों से जिन कलाकृतियों को उजागर करने में सक्षम था, उन्होंने ज्ञात संचालन से कोई संबंध नहीं दिखाया।
"हम इस अभियान का श्रेय किसी ज्ञात समूह को नहीं दे सकते, न ही कोड समानता या बुनियादी ढांचे से," M.Lévillé कहते हैं।
एक और सुराग: अभियान को भी कसकर लक्षित किया जाता है - आमतौर पर अधिक परिष्कृत अभिनेताओं की पहचान।
"क्लाउडमेन्सिस द्वारा उपयोग किए गए क्लाउड स्टोरेज खातों के मेटाडेटा से पता चला है कि हमने जिन नमूनों का विश्लेषण किया है, वे फरवरी 51 और अप्रैल 4 के बीच 22 मैक पर चल रहे हैं," एम.लेविल कहते हैं। दुर्भाग्य से, "हमें पीड़ितों के भौगोलिक स्थान या लंबवत के बारे में कोई जानकारी नहीं है क्योंकि क्लाउड स्टोरेज से फाइलें हटा दी जाती हैं।"
हालांकि, अभियान के एपीटी-ईश पहलुओं का मुकाबला करते हुए, मैलवेयर का परिष्कार स्तर उतना प्रभावशाली नहीं है, ईएसईटी ने नोट किया।
"कोड की सामान्य गुणवत्ता और अस्पष्टता की कमी से पता चलता है कि लेखक मैक विकास से बहुत परिचित नहीं हो सकते हैं और इतने उन्नत नहीं हैं," के अनुसार रिपोर्ट.
M.Lévillé ने CloudMensis को एक मध्यम-उन्नत खतरे के रूप में चित्रित किया, और कहा कि इसके विपरीत एनएसओ समूह का दुर्जेय पेगासस स्पाइवेयर, CloudMensis अपने कोड में कोई शून्य-दिन के कारनामे नहीं बनाता है।
"हमने नहीं देखा कि CloudMensis Apple की सुरक्षा बाधाओं को दरकिनार करने के लिए अघोषित कमजोरियों का उपयोग करता है," M.Léveilé कहते हैं। "हालांकि, हमने पाया कि क्लाउडमेन्सिस ने मैक पर ज्ञात कमजोरियों (जिसे वन-डे या एन-डे के रूप में भी जाना जाता है) का उपयोग किया है जो मैकोज़ का नवीनतम संस्करण नहीं चलाते हैं [सुरक्षा न्यूनीकरण को बायपास करने के लिए]। हम नहीं जानते कि पीड़ितों के मैक पर क्लाउडमेन्सिस स्पाइवेयर कैसे स्थापित किया जाता है, इसलिए शायद वे उस उद्देश्य के लिए अज्ञात कमजोरियों का उपयोग करते हैं, लेकिन हम केवल अनुमान लगा सकते हैं। यह क्लाउडमेन्सिस को परिष्कार के पैमाने में कहीं बीच में रखता है, औसत से अधिक, लेकिन सबसे परिष्कृत भी नहीं।
CloudMensis और Spyware से अपने व्यवसाय की सुरक्षा कैसे करें
CloudMensis खतरे का शिकार बनने से बचने के लिए, macOS मिटिगेशन के आसपास काम करने के लिए कमजोरियों के उपयोग का मतलब है कि अप-टू-डेट Mac चलाना व्यवसायों के लिए रक्षा की पहली पंक्ति है, ESET के अनुसार। हालांकि इस मामले में प्रारंभिक-समझौता वेक्टर ज्ञात नहीं है, मजबूत पासवर्ड और फ़िशिंग-जागरूकता प्रशिक्षण जैसी सभी मूलभूत बातों को लागू करना भी एक अच्छा बचाव है।
शोधकर्ताओं ने भी चालू करने की सिफारिश की Apple का नया लॉकडाउन मोड सुविधा.
विश्लेषण के अनुसार, "Apple ने हाल ही में अपने उत्पादों के उपयोगकर्ताओं को लक्षित करने वाले स्पाइवेयर की उपस्थिति को स्वीकार किया है और iOS, iPadOS और macOS पर लॉकडाउन मोड का पूर्वावलोकन कर रहा है, जो कोड निष्पादन प्राप्त करने और मैलवेयर को तैनात करने के लिए अक्सर शोषण की जाने वाली सुविधाओं को अक्षम करता है।" "कम तरल उपयोगकर्ता अनुभव की कीमत पर प्रवेश बिंदुओं को अक्षम करना, हमले की सतह को कम करने का एक उचित तरीका लगता है।"
इन सबसे ऊपर, M.Léveillé व्यवसायों को Macs के मामले में सुरक्षा के झूठे अर्थों में लुढ़कने के प्रति सावधान करता है। जबकि Mac को लक्षित करने वाले मैलवेयर पारंपरिक रूप से Windows या Linux खतरों से कम प्रचलित रहे हैं, जो अब बदल रहा है.
"अपने बेड़े में मैक का उपयोग करने वाले व्यवसायों को उनकी रक्षा उसी तरह करनी चाहिए जैसे वे विंडोज या किसी अन्य ऑपरेटिंग सिस्टम पर चलने वाले कंप्यूटरों की रक्षा करते हैं," वे चेतावनी देते हैं। “साल दर साल मैक की बिक्री बढ़ने के साथ, उनके उपयोगकर्ता आर्थिक रूप से प्रेरित अपराधियों के लिए एक दिलचस्प लक्ष्य बन गए हैं। राज्य-प्रायोजित खतरे समूहों के पास अपने लक्ष्यों को अनुकूलित करने और ऑपरेटिंग सिस्टम की परवाह किए बिना अपने मिशन को पूरा करने के लिए आवश्यक मैलवेयर विकसित करने के लिए संसाधन भी हैं।
