Ранее неизвестное шпионское ПО для macOS всплыло в ходе целенаправленной кампании, которая извлекает документы, нажатия клавиш, снимки экрана и многое другое с компьютеров Apple. Интересно, что он использует исключительно общедоступные облачные хранилища для размещения полезной нагрузки и для командно-административной связи (C2) — необычный выбор дизайна, который затрудняет отслеживание и анализ угрозы.
Названный CloudMensis исследователями ESET, обнаружившими его, бэкдор был разработан на языке Objective-C. Проведенный ESET анализ вредоносного ПО, выпущенного на этой неделе, показывает, что после первоначальной компрометации злоумышленники, стоящие за этой кампанией, получают возможность выполнения кода и повышения привилегий, используя известные уязвимости. Затем они устанавливают компонент загрузчика первого этапа, который получает реальную полезную нагрузку шпионского ПО от поставщика облачного хранилища. В проанализированном фирмой образце pCloud использовался для хранения и доставки второго этапа, но вредоносное ПО также поддерживает Dropbox и Яндекс в качестве облачных репозиториев.
Затем шпионский компонент приступает к сбору множества конфиденциальных данных со взломанного Mac, включая файлы, вложения электронной почты, сообщения, аудиозаписи и нажатия клавиш. В целом, исследователи заявили, что он поддерживает 39 различных команд, включая директиву для загрузки дополнительных вредоносных программ.
Все данные, полученные нечестным путем, шифруются с помощью открытого ключа, найденного в шпионском агенте; и для его расшифровки требуется закрытый ключ, принадлежащий операторам CloudMensis, согласно ESET.
Шпионское ПО в облаке
Согласно анализу, наиболее примечательным аспектом кампании, помимо того факта, что шпионское ПО для Mac является редкостью, является его исключительное использование облачного хранилища.
«Преступники CloudMensis создают учетные записи в облачных хранилищах, таких как Dropbox или pCloud», — объясняет Dark Reading Марк-Этьен М. Левей, старший исследователь вредоносных программ в ESET. «Шпионское ПО CloudMensis содержит токены аутентификации, которые позволяют им загружать и скачивать файлы с этих учетных записей. Когда операторы хотят отправить команду одному из своих ботов, они загружают файл в облачное хранилище. Агент-шпион CloudMensis извлечет этот файл, расшифрует его и выполнит команду. Результат команды шифруется и загружается в облачное хранилище для загрузки и расшифровки операторами».
Этот метод означает, что в образцах вредоносных программ нет ни доменного имени, ни IP-адреса, добавляет он: «Отсутствие такого индикатора затрудняет отслеживание инфраструктуры и блокировку CloudMensis на сетевом уровне».
Хотя это и примечательный подход, он уже использовался в мире ПК такими группами, как Начало (он же Облачный атлас) и APT37 (он же Жнец или Группа 123). Однако «я думаю, что мы впервые видим это в вредоносных программах для Mac», — отмечает М.Левейе.
Атрибуция, виктимология остаются загадкой
Пока что все туманно, когда дело доходит до происхождения угрозы. Ясно одно: намерением преступников является шпионаж и кража интеллектуальной собственности, что потенциально является подсказкой относительно типа угрозы, поскольку шпионаж традиционно является областью продвинутых постоянных угроз (APT).
Однако артефакты, которые ESET удалось обнаружить в результате атак, не показали никакой связи с известными операциями.
«Мы не могли отнести эту кампанию к известной группе ни из-за схожести кода, ни из-за инфраструктуры», — говорит М.Левейе.
Еще одна подсказка: кампания также имеет четкую направленность, что обычно является отличительной чертой более искушенных участников.
«Метаданные из учетных записей облачных хранилищ, используемых CloudMensis, показали, что проанализированные нами образцы работали на 51 компьютере Mac в период с 4 февраля по 22 апреля», — говорит М. Левей. К сожалению, «у нас нет информации о геолокации или вертикали жертв, потому что файлы удаляются из облачного хранилища».
Однако, несмотря на APT-аспекты кампании, уровень сложности самой вредоносной программы не впечатляет, отмечает ESET.
«Общее качество кода и отсутствие обфускации показывают, что авторы могут быть не очень хорошо знакомы с разработкой для Mac и не настолько продвинуты», — говорится в сообщении. доклад.
М.Левейе характеризует CloudMensis как угрозу средней степени сложности и отмечает, что в отличие от Грозное шпионское ПО Pegasus от NSO Group, CloudMensis не встраивает в свой код эксплойты нулевого дня.
«Мы не видели, чтобы CloudMensis использовала неизвестные уязвимости для обхода барьеров безопасности Apple, — говорит М. Левейе. «Однако мы обнаружили, что CloudMensis использует известные уязвимости (также известные как однодневные или многодневные) на компьютерах Mac, на которых не установлена последняя версия macOS [для обхода мер безопасности]. Мы не знаем, как шпионское ПО CloudMensis устанавливается на компьютеры жертв, поэтому, возможно, они используют для этой цели неизвестные уязвимости, но мы можем только строить догадки. Это ставит CloudMensis где-то посередине шкалы сложности, выше среднего, но и не самого сложного».
Как защитить свой бизнес от CloudMensis и шпионского ПО
Согласно ESET, чтобы не стать жертвой угрозы CloudMensis, использование уязвимостей для обхода мер по смягчению последствий macOS означает, что использование современных компьютеров Mac является первой линией защиты для бизнеса. Хотя вектор первоначальной компрометации в этом случае неизвестен, внедрение всех остальных основ, таких как надежные пароли и обучение борьбе с фишингом, также является хорошей защитой.
Исследователи также рекомендовали включить Новый режим блокировки Apple функцию.
«Apple недавно признала наличие шпионского ПО, нацеленного на пользователей ее продуктов, и предварительно тестирует режим блокировки на iOS, iPadOS и macOS, который отключает функции, часто используемые для выполнения кода и развертывания вредоносных программ», — говорится в анализе. «Отключение точек входа за счет менее плавного взаимодействия с пользователем звучит как разумный способ уменьшить поверхность атаки».
Прежде всего, M.Léveillé предостерегает бизнес от ложного чувства безопасности, когда дело касается компьютеров Mac. Хотя вредоносное ПО для компьютеров Mac традиционно менее распространено, чем угрозы для Windows или Linux, это сейчас меняется.
«Компании, использующие компьютеры Mac в своем парке, должны защищать их так же, как они защищают компьютеры под управлением Windows или любых других операционных систем», — предупреждает он. «Поскольку продажи компьютеров Mac год от года растут, их пользователи стали интересной мишенью для финансово мотивированных преступников. Спонсируемые государством группы угроз также имеют ресурсы для адаптации к своим целям и разработки вредоносного ПО, необходимого им для выполнения своих задач, независимо от операционной системы».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
