Een voorheen onbekende macOS-spyware is opgedoken in een zeer gerichte campagne, die documenten, toetsaanslagen, schermafbeeldingen en meer van Apple-machines exfiltreert. Interessant is dat het uitsluitend openbare cloudopslagservices gebruikt voor het onderbrengen van payloads en voor command-and-control (C2) -communicatie - een ongebruikelijke ontwerpkeuze die het moeilijk maakt om de dreiging te traceren en te analyseren.
CloudMensis genoemd door de onderzoekers van ESET die het ontdekten, de achterdeur is ontwikkeld in Objective-C. ESET's analyse van de malware die deze week is vrijgegeven, toont aan dat de cyberaanvallers achter de campagne na een eerste compromis code-uitvoering en escalatie van bevoegdheden verkrijgen met behulp van bekende kwetsbaarheden. Vervolgens installeren ze een first-stage loader-component die de daadwerkelijke spyware-payload ophaalt van een cloudopslagprovider. In de steekproef die het bedrijf analyseerde, werd pCloud gebruikt om de tweede fase op te slaan en te leveren, maar de malware ondersteunt ook Dropbox en Yandex als cloudrepositories.
De spionagecomponent begint dan met het verzamelen van een hele reeks gevoelige gegevens van de gecompromitteerde Mac, inclusief bestanden, e-mailbijlagen, berichten, audio-opnamen en toetsaanslagen. In totaal zeiden onderzoekers dat het 39 verschillende commando's ondersteunt, waaronder een richtlijn om extra malware te downloaden.
Alle onrechtmatig verkregen gegevens worden versleuteld met een openbare sleutel die in de spionageagent wordt gevonden; en het vereist een privรฉsleutel, eigendom van de CloudMensis-operators, voor de decodering, volgens ESET.
Spyware in de cloud
Het meest opvallende aspect van de campagne, afgezien van het feit dat Mac-spyware een zeldzame vondst is, is volgens de analyse het exclusieve gebruik van cloudopslag.
"CloudMensis-daders maken accounts aan bij cloudopslagproviders zoals Dropbox of pCloud", legt Marc-Etienne M.Lรฉveillรฉ, senior malware-onderzoeker bij ESET, uit aan Dark Reading. โDe CloudMensis-spyware bevat authenticatietokens waarmee ze bestanden van deze accounts kunnen uploaden en downloaden. Wanneer de operators een opdracht naar een van zijn bots willen sturen, uploaden ze een bestand naar de cloudopslag. De spionageagent van CloudMensis haalt dat bestand op, decodeert het en voert de opdracht uit. Het resultaat van de opdracht wordt versleuteld en geรผpload naar de cloudopslag, zodat de operators ze kunnen downloaden en ontsleutelen.โ
Deze techniek betekent dat er geen domeinnaam of IP-adres in de malware-samples zit, voegt hij eraan toe: "De afwezigheid van een dergelijke indicator maakt het moeilijk om de infrastructuur te volgen en CloudMensis op netwerkniveau te blokkeren."
Hoewel het een opmerkelijke aanpak is, is het al eerder gebruikt in de pc-wereld door groepen zoals Inception (ook bekend als Cloud Atlas) en APT37 (ook bekend als Reaper of Groep 123). "Ik denk echter dat dit de eerste keer is dat we het in Mac-malware zien", merkt M.Lรฉveillรฉ op.
Toeschrijving, slachtofferschap blijft een mysterie
Tot nu toe zijn de zaken, nou ja, bewolkt als het gaat om de herkomst van de dreiging. Eรฉn ding is duidelijk: de bedoeling van de daders is spionage en diefstal van intellectueel eigendom - mogelijk een aanwijzing voor het soort dreiging, aangezien spionage traditioneel het domein is van geavanceerde persistente dreigingen (APT's).
De artefacten die ESET tijdens de aanvallen kon ontdekken, vertoonden echter geen verband met bekende operaties.
"We konden deze campagne niet toeschrijven aan een bekende groep, noch vanwege de codeovereenkomst of infrastructuur", zegt M.Lรฉveillรฉ.
Nog een aanwijzing: de campagne is ook strak gericht - meestal het kenmerk van meer geavanceerde acteurs.
"Metadata van cloudopslagaccounts die door CloudMensis worden gebruikt, hebben aangetoond dat de monsters die we hebben geanalyseerd tussen 51 februari en 4 april op 22 Macs zijn uitgevoerd", zegt M.Lรฉveillรฉ. Helaas "hebben we geen informatie over de geolocatie of verticale positie van de slachtoffers omdat bestanden uit de cloudopslag worden verwijderd."
Als we echter de APT-achtige aspecten van de campagne tegengaan, is het verfijningsniveau van de malware zelf niet zo indrukwekkend, merkte ESET op.
"De algemene kwaliteit van de code en het gebrek aan verduistering tonen aan dat de auteurs misschien niet erg bekend zijn met Mac-ontwikkeling en niet zo geavanceerd zijn", aldus het verslag.
M.Lรฉveillรฉ omschrijft CloudMensis als een medium-geavanceerde bedreiging, en merkte op dat in tegenstelling tot De formidabele Pegasus-spyware van NSO Group, bouwt CloudMensis geen zero-day exploits in zijn code in.
"We hebben niet gezien dat CloudMensis geheime kwetsbaarheden gebruikt om de beveiligingsbarriรจres van Apple te omzeilen", zegt M.Lรฉveillรฉ. "We ontdekten echter dat CloudMensis bekende kwetsbaarheden (ook bekend als one-day of n-day) gebruikte op Macs die niet de nieuwste versie van macOS gebruiken [om beveiligingsbeperkingen te omzeilen]. We weten niet hoe de CloudMensis-spyware is geรฏnstalleerd op de Macs van slachtoffers, dus misschien gebruiken ze voor dat doel geheime kwetsbaarheden, maar we kunnen alleen maar speculeren. Dit plaatst CloudMensis ergens in het midden van de schaal van verfijning, meer dan gemiddeld, maar ook niet de meest geavanceerde.โ
Hoe u uw bedrijf kunt beschermen tegen CloudMensis en spyware
Om te voorkomen dat je het slachtoffer wordt van de CloudMensis-dreiging, betekent het gebruik van kwetsbaarheden om macOS-beperkingen te omzeilen dat het draaien van up-to-date Macs de eerste verdedigingslinie is voor bedrijven, aldus ESET. Hoewel de initiรซle compromisvector in dit geval niet bekend is, is het ook een goede verdediging om de rest van de basisprincipes, zoals sterke wachtwoorden en phishing-bewustzijnstraining, te implementeren.
Onderzoekers raden ook aan om in te schakelen Apple's nieuwe Lockdown-modus kenmerk.
"Apple heeft onlangs de aanwezigheid erkend van spyware die is gericht op gebruikers van zijn producten en bekijkt een preview van de Lockdown-modus op iOS, iPadOS en macOS, die functies uitschakelt die vaak worden misbruikt om code-uitvoering te krijgen en malware te implementeren", aldus de analyse. "Het uitschakelen van toegangspunten, ten koste van een minder vloeiende gebruikerservaring, klinkt als een redelijke manier om het aanvalsoppervlak te verkleinen."
Bovenal waarschuwt M.Lรฉveillรฉ bedrijven ervoor om niet in slaap gesust te worden met een vals gevoel van veiligheid als het om Macs gaat. Hoewel malware gericht op Macs traditioneel minder voorkomt dan Windows- of Linux-bedreigingen, dat is nu aan het veranderen.
"Bedrijven die Macs in hun vloot gebruiken, moeten ze op dezelfde manier beschermen als computers met Windows of andere besturingssystemen", waarschuwt hij. โNu de verkoop van Macs jaar na jaar toeneemt, zijn hun gebruikers een interessant doelwit geworden voor financieel gemotiveerde criminelen. Door de staat gesteunde dreigingsgroepen hebben ook de middelen om zich aan te passen aan hun doelen en de malware te ontwikkelen die ze nodig hebben om hun missies te vervullen, ongeacht het besturingssysteem.โ
