Nieznane wcześniej oprogramowanie szpiegujące dla systemu macOS pojawiło się w wysoce ukierunkowanej kampanii, która wydobywa dokumenty, naciśnięcia klawiszy, zrzuty ekranu i inne elementy z komputerów Apple. Co ciekawe, wykorzystuje on wyłącznie usługi przechowywania w chmurze publicznej do przechowywania ładunków oraz do komunikacji typu „dowództwo i kontrola” (C2) — nietypowy wybór projektowy, który utrudnia śledzenie i analizowanie zagrożenia.
Nazwany CloudMensis przez badaczy z firmy ESET, którzy go odkryli, backdoor został opracowany w Objective-C. Przeprowadzona przez firmę ESET analiza szkodliwego oprogramowania opublikowana w tym tygodniu pokazuje, że po początkowym włamaniu cyberprzestępcy stojący za kampanią uzyskują wykonywanie kodu i eskalację uprawnień przy użyciu znanych luk w zabezpieczeniach. Następnie instalują komponent programu ładującego pierwszego stopnia, który pobiera rzeczywisty ładunek oprogramowania szpiegującego od dostawcy pamięci masowej w chmurze. W próbce analizowanej przez firmę do przechowywania i dostarczania drugiego etapu wykorzystano pCloud, ale szkodliwe oprogramowanie obsługuje również Dropbox i Yandex jako repozytoria w chmurze.
Komponent szpiegowski następnie zbiera zbiór poufnych danych z zaatakowanego komputera Mac, w tym plików, załączników do wiadomości e-mail, wiadomości, nagrań dźwiękowych i naciśnięć klawiszy. W sumie badacze stwierdzili, że obsługuje 39 różnych poleceń, w tym dyrektywę pobierania dodatkowego złośliwego oprogramowania.
Wszystkie nieuczciwie zdobyte dane są szyfrowane przy użyciu klucza publicznego odnalezionego w agencie szpiegowskim; i wymaga klucza prywatnego należącego do operatorów CloudMensis do jego odszyfrowania, zgodnie z ESET.
Oprogramowanie szpiegujące w chmurze
Z analizy wynika, że najważniejszym aspektem kampanii, poza faktem, że oprogramowanie szpiegujące na komputery Mac jest rzadkim odkryciem, jest wyłączne korzystanie z pamięci masowej w chmurze.
„Sprawcy CloudMensis tworzą konta u dostawców przechowywania w chmurze, takich jak Dropbox lub pCloud”, wyjaśnia Dark Reading Marc-Etienne M.Léveillé, starszy badacz złośliwego oprogramowania w firmie ESET. „Oprogramowanie szpiegujące CloudMensis zawiera tokeny uwierzytelniające, które umożliwiają przesyłanie i pobieranie plików z tych kont. Gdy operatorzy chcą wysłać polecenie do jednego ze swoich botów, przesyłają plik do pamięci w chmurze. Agent szpiegowski CloudMensis pobierze ten plik, odszyfruje go i uruchomi polecenie. Wynik polecenia jest szyfrowany i przesyłany do pamięci w chmurze, aby operatorzy mogli pobrać i odszyfrować.”
Ta technika oznacza, że w próbkach złośliwego oprogramowania nie ma nazwy domeny ani adresu IP, dodaje: „Brak takiego wskaźnika utrudnia śledzenie infrastruktury i blokowanie CloudMensis na poziomie sieci”.
Chociaż jest to godne uwagi podejście, było już używane w świecie komputerów PC przez grupy takie jak Początek (inaczej Atlas Chmur) i APT37 (aka Żniwiarz lub Grupa 123). Jednak „Myślę, że po raz pierwszy widzimy go w złośliwym oprogramowaniu dla komputerów Mac” — zauważa M.Léveillé.
Atrybucja, wiktymologia pozostają tajemnicą
Jak dotąd sprawy są, cóż, pochmurne, jeśli chodzi o pochodzenie zagrożenia. Jedno jest jasne, że intencją sprawców jest szpiegostwo i kradzież własności intelektualnej — potencjalnie wskazówka co do rodzaju zagrożenia, ponieważ szpiegostwo jest tradycyjnie domeną zaawansowanych trwałych zagrożeń (APT).
Jednak artefakty, które firma ESET była w stanie odkryć podczas ataków, nie wykazały żadnych powiązań ze znanymi operacjami.
„Nie mogliśmy przypisać tej kampanii znanej grupie, ani z powodu podobieństwa kodu, ani infrastruktury” – mówi M.Léveillé.
Kolejna wskazówka: kampania jest również ściśle ukierunkowana — zwykle cecha bardziej wyrafinowanych aktorów.
„Metadane z kont pamięci w chmurze wykorzystywanych przez CloudMensis ujawniły, że analizowane przez nas próbki działały na 51 komputerach Mac między 4 lutego a 22 kwietnia”, mówi M.Léveillé. Niestety „nie mamy informacji na temat geolokalizacji ani branży ofiar, ponieważ pliki są usuwane z pamięci w chmurze”.
Jednak w przeciwieństwie do aspektów kampanii związanych z APT, poziom zaawansowania samego złośliwego oprogramowania nie jest aż tak imponujący, zauważył ESET.
„Ogólna jakość kodu i brak zaciemnienia pokazuje, że autorzy mogą nie być zbyt zaznajomieni z rozwojem komputerów Mac i nie są tak zaawansowani” Raport.
M.Léveillé charakteryzuje CloudMensis jako zagrożenie średnio-zaawansowane i zauważył, że w przeciwieństwie do Potężne oprogramowanie szpiegujące Pegasus firmy NSO Group, CloudMensis nie wbudowuje w swój kod exploitów zero-day.
„Nie widzieliśmy, aby CloudMensis wykorzystywał nieujawnione luki w zabezpieczeniach, aby ominąć bariery bezpieczeństwa Apple”, mówi M.Léveillé. „Odkryliśmy jednak, że CloudMensis wykorzystywał znane luki (znane również jako jednodniowe lub n-dniowe) na komputerach Mac, na których nie działa najnowsza wersja systemu macOS [w celu ominięcia łagodzenia bezpieczeństwa]. Nie wiemy, w jaki sposób oprogramowanie szpiegujące CloudMensis jest instalowane na komputerach Mac ofiar, więc być może wykorzystują w tym celu nieujawnione luki, ale możemy tylko spekulować. To plasuje CloudMensis gdzieś pośrodku skali wyrafinowania, ponad przeciętną, ale też nie najbardziej wyrafinowaną”.
Jak chronić swoją firmę przed CloudMensis i oprogramowaniem szpiegującym?
Aby uniknąć stania się ofiarą zagrożenia CloudMensis, wykorzystanie luk w zabezpieczeniach w celu obejścia macOS oznacza, że według ESET uruchamianie aktualnych komputerów Mac jest pierwszą linią obrony dla firm. Chociaż w tym przypadku nie jest znany wektor początkowego włamania, implementacja wszystkich pozostałych podstawowych elementów, takich jak silne hasła i szkolenie w zakresie świadomości phishingu, jest również dobrą obroną.
Naukowcy zalecili również włączenie Nowy tryb blokady Apple cecha.
„Apple niedawno potwierdził obecność oprogramowania szpiegującego atakującego użytkowników swoich produktów i zapowiada tryb blokady na iOS, iPadOS i macOS, który wyłącza funkcje często wykorzystywane do wykonywania kodu i wdrażania złośliwego oprogramowania” – wynika z analizy. „Wyłączenie punktów wejścia, kosztem mniej płynnego doświadczenia użytkownika, brzmi jak rozsądny sposób na zmniejszenie powierzchni ataku”.
Przede wszystkim M.Léveillé ostrzega firmy przed usypianiem fałszywym poczuciem bezpieczeństwa, jeśli chodzi o komputery Mac. Chociaż złośliwe oprogramowanie atakujące komputery Mac było tradycyjnie mniej rozpowszechnione niż zagrożenia dla systemów Windows lub Linux, to się teraz zmienia.
„Firmy używające komputerów Mac w swojej flocie powinny chronić je w taki sam sposób, w jaki chroniłyby komputery z systemem Windows lub dowolnym innym systemem operacyjnym”, ostrzega. „Wraz z rosnącą z roku na rok sprzedażą komputerów Mac, ich użytkownicy stali się interesującym celem dla przestępców motywowanych finansami. Sponsorowane przez państwo grupy zagrożeń mają również zasoby, aby dostosować się do swoich celów i opracować złośliwe oprogramowanie, którego potrzebują do wypełniania swoich misji, niezależnie od systemu operacyjnego”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
