En tidligere ukjent macOS-spyware har dukket opp i en svært målrettet kampanje, som eksfiltrerer dokumenter, tastetrykk, skjermbilder og mer fra Apple-maskiner. Interessant nok bruker den utelukkende offentlige skylagringstjenester for husnyttelast og for kommando-og-kontroll (C2) kommunikasjon - et uvanlig designvalg som gjør det vanskelig å spore og analysere trusselen.
Bakdøren ble kalt CloudMensis av forskerne ved ESET som oppdaget den, og ble utviklet i Objective-C. ESETs analyse av skadelig programvare som ble utgitt denne uken, viser at etter innledende kompromiss, får nettangriperne bak kampanjen kodekjøring og rettighetseskalering ved å bruke kjente sårbarheter. Deretter installerer de en første-trinns loader-komponent som henter den faktiske spyware-nyttelasten fra en skylagringsleverandør. I prøven firmaet analyserte, ble pCloud brukt til å lagre og levere det andre trinnet, men skadevaren støtter også Dropbox og Yandex som skylager.
Spionkomponenten begynner deretter å samle inn en mengde sensitive data fra den kompromitterte Mac-en, inkludert filer, e-postvedlegg, meldinger, lydopptak og tastetrykk. I alt sa forskere at den støtter 39 forskjellige kommandoer, inkludert et direktiv om å laste ned ytterligere skadelig programvare.
Alle de dårlige dataene er kryptert med en offentlig nøkkel som finnes i spionagenten; og den krever en privat nøkkel, eid av CloudMensis-operatørene, for dens dekryptering, ifølge ESET.
Spionvare i skyen
Det mest bemerkelsesverdige aspektet av kampanjen, bortsett fra det faktum at Mac-spyware er et sjeldent funn, er dens eksklusive bruk av skylagring, ifølge analysen.
"Gerningsmenn i CloudMensis oppretter kontoer hos leverandører av nettskylagring som Dropbox eller pCloud," forklarer Marc-Etienne M.Léveillé, seniorforsker av skadevare ved ESET, til Dark Reading. "Spyware fra CloudMensis inneholder autentiseringstokener som lar dem laste opp og laste ned filer fra disse kontoene. Når operatørene vil sende en kommando til en av robotene deres, laster de opp en fil til skylagringen. CloudMensis spionagent vil hente den filen, dekryptere den og kjøre kommandoen. Resultatet av kommandoen krypteres og lastes opp til skylagringen slik at operatørene kan laste ned og dekryptere."
Denne teknikken betyr at det ikke er noe domenenavn eller IP-adresse i malware-eksemplene, legger han til: "Fraværet av en slik indikator gjør det vanskelig å spore infrastruktur og blokkere CloudMensis på nettverksnivå."
Selv om det er en bemerkelsesverdig tilnærming, har den blitt brukt i PC-verdenen før av grupper som Inception (aka Cloud Atlas) og APT37 (aka Reaper eller Group 123). Imidlertid, "Jeg tror det er første gang vi har sett det i Mac malware," bemerker M.Léveillé.
Attribution, Victimology Remain a Mystery
Så langt er ting, vel, overskyet når det kommer til herkomsten til trusselen. En ting som er klart er at intensjonen til gjerningsmennene er spionasje og tyveri av intellektuell eiendom – potensielt en pekepinn på typen trussel, siden spionasje tradisjonelt er domenet til avanserte vedvarende trusler (APTs).
Artefaktene ESET klarte å avdekke fra angrepene viste imidlertid ingen bånd til kjente operasjoner.
"Vi kunne ikke tilskrive denne kampanjen til en kjent gruppe, verken fra kodelikheten eller infrastrukturen," sier M.Léveillé.
En annen ledetråd: Kampanjen er også tett målrettet - vanligvis kjennetegnet til mer sofistikerte skuespillere.
"Metadata fra skylagringskontoer brukt av CloudMensis viste at prøvene vi analyserte har kjørt på 51 Mac-er mellom 4. februar og 22. april," sier M.Léveillé. Dessverre, "vi har ingen informasjon om geolokasjonen eller vertikalen til ofrene fordi filer slettes fra skylagringen."
I motsetning til de APT-aktige aspektene ved kampanjen, er imidlertid ikke sofistikeringsnivået til skadevare i seg selv så imponerende, bemerket ESET.
"Den generelle kvaliteten på koden og mangelen på tilsløring viser at forfatterne kanskje ikke er veldig kjent med Mac-utvikling og ikke er så avanserte," ifølge rapporten.
M.Léveillé karakteriserer CloudMensis som en middels avansert trussel, og bemerket at i motsetning til NSO Groups formidable Pegasus spyware, CloudMensis bygger ingen nulldagers utnyttelser inn i koden sin.
"Vi så ikke CloudMensis bruke ikke avslørte sårbarheter for å omgå Apples sikkerhetsbarrierer," sier M.Léveillé. "Vi fant imidlertid ut at CloudMensis brukte kjente sårbarheter (også kjent som en-dag eller n-dag) på Mac-er som ikke kjører den nyeste versjonen av macOS [for å omgå sikkerhetsbegrensninger]. Vi vet ikke hvordan CloudMensis-spywaren er installert på ofrenes Mac-er, så kanskje de bruker ikke avslørte sårbarheter til det formålet, men vi kan bare spekulere. Dette plasserer CloudMensis et sted i midten i skalaen for sofistikering, mer enn gjennomsnittet, men ikke den mest sofistikerte heller.»
Slik beskytter du bedriften din mot CloudMensis og spionprogrammer
For å unngå å bli et offer for CloudMensis-trusselen, betyr bruk av sårbarheter for å omgå macOS-reduksjoner at å kjøre oppdaterte Mac-er er den første forsvarslinjen for bedrifter, ifølge ESET. Selv om den innledende kompromissvektoren ikke er kjent i dette tilfellet, er implementering av resten av det grunnleggende som sterke passord og phishing-opplæring også et godt forsvar.
Forskere anbefalte også å slå på Apples nye låsemodus funksjonen.
"Apple har nylig erkjent tilstedeværelsen av spionprogrammer rettet mot brukere av produktene sine og forhåndsviser låsemodus på iOS, iPadOS og macOS, som deaktiverer funksjoner som ofte utnyttes for å få kodekjøring og distribuere skadelig programvare," ifølge analysen. "Å deaktivere inngangspunkter, på bekostning av en mindre flytende brukeropplevelse, høres ut som en rimelig måte å redusere angrepsoverflaten på."
Fremfor alt advarer M.Léveillé bedrifter mot å bli lullet inn i en falsk følelse av sikkerhet når det kommer til Mac. Mens skadelig programvare rettet mot Mac-er tradisjonelt har vært mindre utbredt enn Windows- eller Linux-trusler, det er nå i endring.
"Bedrifter som bruker Mac-maskiner i flåten bør beskytte dem på samme måte som de ville beskytte datamaskiner som kjører Windows eller andre operativsystemer," advarer han. "Med Mac-salget økende år etter år, har brukerne deres blitt et interessant mål for økonomisk motiverte kriminelle. Statsstøttede trusselgrupper har også ressursene til å tilpasse seg målene sine og utvikle skadevare de trenger for å oppfylle sine oppdrag, uavhengig av operativsystemet.»
