Korábban ismeretlen macOS spyware bukkant fel egy erősen célzott kampányban, amely kiszivárog dokumentumokat, billentyűleütéseket, képernyőfelvételeket és egyebeket az Apple gépeiről. Érdekes módon kizárólag nyilvános felhőalapú tárolási szolgáltatásokat használ a hasznos terhek elhelyezésére és a parancs- és vezérlési (C2) kommunikációra – ez egy szokatlan tervezési választás, amely megnehezíti a fenyegetés nyomon követését és elemzését.
Az ESET felfedezői által CloudMensis névre keresztelt hátsó ajtót az Objective-C-ben fejlesztették ki. Az ESET ezen a héten kiadott rosszindulatú program elemzése azt mutatja, hogy a kezdeti kompromisszumot követően a kampány mögött álló kibertámadók kódvégrehajtást és jogosultságkiterjesztést kapnak az ismert sebezhetőségek segítségével. Ezután telepítenek egy első lépcsős betöltő összetevőt, amely lekéri a tényleges kémprogram-terhelést egy felhőalapú tárolási szolgáltatótól. A cég által elemzett mintában a pCloudot használta a második szakasz tárolására és szállítására, de a kártevő a Dropboxot és a Yandexet is támogatja felhőtárolóként.
A kémkomponens ezután hozzáfog egy csomó érzékeny adat begyűjtéséhez a feltört Mac-ről, beleértve a fájlokat, e-mail mellékleteket, üzeneteket, hangfelvételeket és billentyűleütéseket. Összességében a kutatók elmondták, hogy 39 különböző parancsot támogat, beleértve a további rosszindulatú programok letöltésére vonatkozó utasítást is.
Az összes jogosulatlanul szerzett adatot a kémügynökben található nyilvános kulccsal titkosítják; és az ESET szerint a titkosításhoz a CloudMensis operátorok tulajdonában lévő privát kulcsra van szükség.
Kémprogramok a felhőben
Az elemzés szerint a kampány legfigyelemreméltóbb aspektusa azon kívül, hogy a Mac spyware ritka lelet, a felhőalapú tárolás kizárólagos használata.
„A CloudMensis elkövetői olyan felhőalapú tárolószolgáltatókon hoznak létre fiókokat, mint a Dropbox vagy a pCloud” – magyarázza Marc-Etienne M.Léveillé, az ESET vezető malware-kutatója a Dark Readingnek. „A CloudMensis spyware hitelesítési tokeneket tartalmaz, amelyek lehetővé teszik számukra, hogy fájlokat töltsenek fel és töltsenek le ezekből a fiókokból. Amikor az operátorok parancsot akarnak küldeni az egyik robotnak, feltöltenek egy fájlt a felhőtárolóba. A CloudMensis kémügynök lekéri a fájlt, visszafejti a titkosítást, és futtatja a parancsot. A parancs eredményét titkosítják, és feltöltik a felhőtárolóba, hogy az üzemeltetők letölthessék és visszafejtsék."
Ez a technika azt jelenti, hogy a rosszindulatú programok mintáiban nem szerepel domain név vagy IP-cím, hozzáteszi: "Az ilyen jelző hiánya megnehezíti az infrastruktúra nyomon követését és a CloudMensis blokkolását hálózati szinten."
Noha figyelemre méltó megközelítés, korábban is használták a PC-világban olyan csoportok, mint Inception (más néven Felhőatlasz) és APT37 (más néven Reaper vagy 123-as csoport). Mindazonáltal „Azt hiszem, ez az első alkalom, hogy ezt látjuk Mac kártevőkben” – jegyzi meg M.Léveillé.
Az attribúció, a viktimológia továbbra is rejtély marad
A fenyegetés eredetét illetően egyelőre borúsak a dolgok. Egy dolog világos, hogy az elkövetők szándéka a kémkedés és a szellemi tulajdon eltulajdonítása – potenciálisan a fenyegetés típusát illetően, mivel a kémkedés hagyományosan a fejlett tartós fenyegetések (APT) területe.
Az ESET által a támadásokból feltárt műtermékek azonban nem mutattak kapcsolatot ismert műveletekkel.
„Ezt a kampányt sem a kódhasonlóságból, sem az infrastruktúrából nem tudtuk egy ismert csoporthoz kötni” – mondja M.Léveillé.
Egy másik támpont: A kampány is szigorúan célzott – általában a kifinomultabb színészek fémjelzi.
„A CloudMensis által használt felhőalapú tárolási fiókokból származó metaadatok felfedték, hogy az általunk elemzett minták 51 Mac-en futottak február 4. és április 22. között” – mondja M.Léveillé. Sajnos "nincs információnk az áldozatok földrajzi elhelyezkedéséről vagy függőleges helyzetéről, mert a fájlok törlődnek a felhőtárhelyről."
A kampány APT-szerű vonatkozásaival szemben azonban maga a kártevő kifinomultsága nem olyan lenyűgöző – jegyezte meg az ESET.
"A kód általános minősége és a homályosság hiánya azt mutatja, hogy a szerzők nem ismerik nagyon a Mac-fejlesztést, és nem is olyan fejlettek" A jelentés.
M.Léveillé közepesen fejlett fenyegetésként jellemzi a CloudMensist, és megjegyezte, hogy a Az NSO Group félelmetes Pegasus kémprogramja, a CloudMensis nem épít nulladik napi exploitokat a kódjába.
„Nem láttuk, hogy a CloudMensis fel nem tárt sebezhetőségeket használt volna az Apple biztonsági korlátainak megkerülésére” – mondja M.Léveillé. „Azonban azt tapasztaltuk, hogy a CloudMensis ismert sebezhetőségeket használt (más néven egynapos vagy n-napos) olyan Mac-eken, amelyek nem a macOS legújabb verzióját futtatják [a biztonsági intézkedések megkerülésére]. Nem tudjuk, hogyan telepítik a CloudMensis spyware-t az áldozatok Mac-jeire, így talán használnak fel nem titkolt sebezhetőséget erre a célra, de csak találgatni tudunk. Ezáltal a CloudMensis a kifinomultság skáláján a középmezőnyben helyezkedik el, az átlagosnál több, de nem is a legkifinomultabb.”
Hogyan védheti meg vállalkozását a CloudMensis és spyware ellen
Az ESET szerint a CloudMensis fenyegetés áldozatává válásának elkerülése érdekében a sebezhetőségek használata a macOS-enyhítések megkerülésére azt jelenti, hogy a naprakész Mac-ek futtatása jelenti az első védelmi vonalat a vállalkozások számára. Bár a kezdeti kompromisszum vektora ebben az esetben nem ismert, az összes többi alapelem, például az erős jelszavak és az adathalászat-tudatosság képzése is jó védekezés.
A kutatók azt is javasolták, hogy kapcsolják be Az Apple új zárolási módja funkciót.
„Az Apple a közelmúltban elismerte a termékei felhasználóit célzó kémprogramok jelenlétét, és kipróbálja a Lockdown Mode (Lockdown Mode) előnézetét iOS, iPadOS és macOS rendszeren, amely letiltja a kódvégrehajtásra és a rosszindulatú programok telepítésére gyakran használt funkciókat” – áll az elemzésben. "A belépési pontok letiltása a kevésbé gördülékeny felhasználói élmény rovására ésszerű módja a támadási felület csökkentésének."
M.Léveillé mindenekelőtt óva inti a vállalkozásokat attól, hogy hamis biztonságérzetbe ringassák őket, ha Mac-ről van szó. Míg a Mac-eket célzó rosszindulatú programok hagyományosan kevésbé elterjedtek, mint a Windows vagy Linux fenyegetések, ez most változik.
„A flottájukban Mac-et használó vállalkozásoknak ugyanúgy meg kell védeniük azokat, mint a Windowst vagy bármely más operációs rendszert futtató számítógépeket” – figyelmeztet. „A Mac-eladások évről évre növekszik, felhasználóik a pénzügyileg motivált bűnözők érdekes célpontjává váltak. Az államilag szponzorált fenyegető csoportok is rendelkeznek azokkal az erőforrásokkal, amelyekkel alkalmazkodhatnak a célpontjaikhoz, és kifejleszthetik a küldetésük teljesítéséhez szükséges rosszindulatú programokat, operációs rendszertől függetlenül.”
