これまで知られていなかったmacOSスパイウェアが、ターゲットを絞ったキャンペーンで登場しました。このキャンペーンでは、Appleマシンからドキュメント、キーストローク、画面キャプチャなどを盗み出します。 興味深いことに、ペイロードの収容とコマンドアンドコントロール(C2)通信にパブリッククラウドストレージサービスを独占的に使用しています。これは、脅威の追跡と分析を困難にする珍しい設計上の選択です。
それを発見したESETの研究者によってCloudMensisと呼ばれるバックドアは、Objective-Cで開発されました。 今週リリースされたマルウェアのESETの分析によると、最初の侵害の後、キャンペーンの背後にいるサイバー攻撃者は、既知の脆弱性を使用してコードの実行と特権の昇格を取得します。 次に、クラウドストレージプロバイダーから実際のスパイウェアペイロードを取得する第XNUMX段階のローダーコンポーネントをインストールします。 同社が分析したサンプルでは、pCloudを使用して第XNUMX段階を保存および配信しましたが、マルウェアはクラウドリポジトリとしてDropboxとYandexもサポートしています。
次に、スパイコンポーネントは、ファイル、電子メールの添付ファイル、メッセージ、音声録音、キーストロークなど、侵害されたMacから大量の機密データを収集することに着手します。 全体として、研究者は、追加のマルウェアをダウンロードするディレクティブを含む、39の異なるコマンドをサポートしていると述べました。
不正に取得されたデータはすべて、スパイエージェントにある公開鍵を使用して暗号化されます。 ESETによると、復号化にはCloudMensisオペレーターが所有する秘密鍵が必要です。
クラウド内のスパイウェア
分析によると、Macスパイウェアがまれな発見であるという事実を除いて、キャンペーンの最も注目すべき側面は、クラウドストレージの独占的な使用です。
「CloudMensisの加害者は、DropboxやpCloudなどのクラウドストレージプロバイダーでアカウントを作成します」と、ESETの上級マルウェア研究者であるMarc-EtienneM.LéveilléはDarkReadingに説明します。 「CloudMensisスパイウェアには、これらのアカウントからファイルをアップロードおよびダウンロードできる認証トークンが含まれています。 オペレーターがボットのXNUMXつにコマンドを送信する場合、クラウドストレージにファイルをアップロードします。 CloudMensisスパイエージェントはそのファイルをフェッチして復号化し、コマンドを実行します。 コマンドの結果は暗号化されてクラウドストレージにアップロードされ、オペレーターがダウンロードして復号化できるようになります。」
この手法は、マルウェアサンプルにドメイン名もIPアドレスも含まれていないことを意味し、「このようなインジケーターがないと、インフラストラクチャを追跡してネットワークレベルでCloudMensisをブロックすることが困難になります」と彼は付け加えています。
注目に値するアプローチですが、以前はPCの世界で次のようなグループによって使用されていました。 インセプション (別名クラウドアトラス)と APT37 (別名リーパーまたはグループ123)。 ただし、「Macマルウェアでこれを確認したのは初めてだと思います」とM.Léveillé氏は述べています。
帰属、被害者学は謎のまま
これまでのところ、脅威の出所に関しては、物事は曇っています。 明らかなことのXNUMXつは、スパイは伝統的に高度な持続的脅威(APT)の領域であるため、加害者の意図はスパイと知的財産の盗難であるということです。
ただし、ESETが攻撃から発見できたアーティファクトは、既知の操作とは関係がありませんでした。
「このキャンペーンを、コードの類似性やインフラストラクチャのいずれからも、既知のグループに帰することはできませんでした」とM.Léveillé氏は言います。
もうXNUMXつの手がかり:キャンペーンも厳密にターゲットにされています—通常はより洗練された俳優の特徴です。
「CloudMensisが使用するクラウドストレージアカウントのメタデータは、分析したサンプルが51月4日から22月XNUMX日までの間にXNUMX台のMacで実行されたことを明らかにしました」とM.Léveillé氏は言います。 残念ながら、「ファイルはクラウドストレージから削除されるため、被害者の地理的位置や垂直方向に関する情報はありません。」
ただし、キャンペーンのAPT風の側面に対抗して、マルウェア自体の高度なレベルはそれほど印象的ではないとESETは述べています。
「コードの一般的な品質と難読化の欠如は、作成者がMac開発にあまり精通しておらず、それほど進んでいない可能性があることを示しています」と述べています。 レポート.
M.Léveilléは、CloudMensisを中程度の高度な脅威として特徴づけており、 NSOGroupの手ごわいペガサススパイウェア、CloudMensisは、ゼロデイエクスプロイトをコードに組み込みません。
「CloudMensisがAppleのセキュリティ障壁を回避するために非公開の脆弱性を使用しているのを見たことがありませんでした」とM.Léveilléは言います。 「しかし、CloudMensisは、最新バージョンのmacOSを実行していないMacで既知の脆弱性(XNUMX日またはn日とも呼ばれます)を使用していることがわかりました[セキュリティの緩和を回避するため]。 CloudMensisスパイウェアが被害者のMacにどのようにインストールされているかはわからないため、被害者はその目的で非公開の脆弱性を使用している可能性がありますが、推測することしかできません。 これにより、CloudMensisは洗練されたスケールの中間のどこかに配置され、平均以上になりますが、最も洗練されたものでもありません。」
CloudMensisとスパイウェアからビジネスを保護する方法
ESETによると、CloudMensisの脅威の犠牲になることを回避するために、脆弱性を使用してmacOSの緩和策を回避することは、最新のMacを実行することが企業の最前線の防御であることを意味します。 この場合、初期の侵害ベクトルは不明ですが、強力なパスワードやフィッシング認識トレーニングなど、残りの基本事項をすべて実装することも適切な防御策です。
研究者はまた、オンにすることを推奨しました Appleの新しいロックダウンモード 特徴。
分析によると、「Appleは最近、自社製品のユーザーを標的とするスパイウェアの存在を認め、iOS、iPadOS、およびmacOSでロックダウンモードをプレビューしています。これにより、コードの実行とマルウェアの展開に頻繁に悪用される機能が無効になります」。 「ユーザーエクスペリエンスの流動性を犠牲にしてエントリポイントを無効にすることは、攻撃対象領域を減らすための合理的な方法のように思えます。」
とりわけ、M.Léveilléは、Macに関して誤った安心感に陥らないように企業に警告しています。 Macを標的とするマルウェアは、従来、WindowsやLinuxの脅威ほど普及していませんでしたが、 それは今変化しています.
「フリートでMacを使用している企業は、Windowsやその他のオペレーティングシステムを実行しているコンピューターを保護するのと同じ方法でMacを保護する必要があります」と彼は警告します。 「Macの売り上げは年々増加しており、そのユーザーは金銭的な動機を持つ犯罪者にとって興味深い標的になっています。 国家が後援する脅威グループには、オペレーティングシステムに関係なく、ターゲットに適応し、ミッションを遂行するために必要なマルウェアを開発するためのリソースもあります。」
