Prej neznana vohunska programska oprema macOS se je pojavila v zelo ciljno usmerjeni kampanji, ki iz Applovih strojev izloči dokumente, pritiske na tipke, posnetke zaslona in drugo. Zanimivo je, da izključno uporablja javne storitve shranjevanja v oblaku za shranjevanje tovora in za komunikacije ukazov in nadzora (C2) – nenavadna izbira zasnove, ki otežuje sledenje in analizo grožnje.
Raziskovalci pri ESET-u, ki so ga odkrili, so poimenovali CloudMensis, zadnja vrata pa so bila razvita v Objective-C. ESET-ova analiza zlonamerne programske opreme, objavljena ta teden, kaže, da po začetnem kompromisu kibernetski napadalci, ki stojijo za kampanjo, pridobijo izvajanje kode in stopnjevanje privilegijev z uporabo znanih ranljivosti. Nato namestijo prvostopenjsko komponento nalagalnika, ki pridobi dejanski tovor vohunske programske opreme od ponudnika shrambe v oblaku. V vzorcu, ki ga je podjetje analiziralo, je bil pCloud uporabljen za shranjevanje in dostavo druge stopnje, vendar zlonamerna programska oprema podpira tudi Dropbox in Yandex kot repozitorija v oblaku.
Vohunska komponenta se nato loti zbiranja množice občutljivih podatkov iz ogroženega Maca, vključno z datotekami, e-poštnimi prilogami, sporočili, zvočnimi posnetki in pritiski tipk. Raziskovalci so povedali, da podpira 39 različnih ukazov, vključno z navodilom za prenos dodatne zlonamerne programske opreme.
Vsi nezakonito pridobljeni podatki so šifrirani z javnim ključem, ki ga najdemo v vohunskem agentu; za dešifriranje pa potrebuje zasebni ključ, ki je v lasti operaterjev CloudMensis, pravi ESET.
Vohunska programska oprema v oblaku
Najbolj opazen vidik kampanje, razen dejstva, da je vohunska programska oprema za Mac redka najdba, je po analizi njena izključna uporaba shranjevanja v oblaku.
»Storilci CloudMensis ustvarijo račune pri ponudnikih shranjevanja v oblaku, kot sta Dropbox ali pCloud,« za Dark Reading pojasnjuje Marc-Etienne M.Léveillé, višji raziskovalec zlonamerne programske opreme pri ESET. »Vohunska programska oprema CloudMensis vsebuje žetone za preverjanje pristnosti, ki jim omogočajo nalaganje in prenos datotek iz teh računov. Ko operaterji želijo poslati ukaz enemu od njegovih botov, naložijo datoteko v shrambo v oblaku. Vohunski agent CloudMensis bo pridobil to datoteko, jo dešifriral in zagnal ukaz. Rezultat ukaza je šifriran in naložen v shrambo v oblaku, da ga operaterji prenesejo in dešifrirajo.«
Ta tehnika pomeni, da v vzorcih zlonamerne programske opreme ni imena domene ali naslova IP, dodaja: "Odsotnost takšnega indikatorja otežuje sledenje infrastrukturi in blokiranje CloudMensis na ravni omrežja."
Čeprav je opazen pristop, so ga v svetu osebnih računalnikov že uporabljale skupine, kot je Inception (aka Atlas oblakov) in APT37 (tudi Reaper ali Skupina 123). Vendar pa "mislim, da smo to prvič videli v zlonamerni programski opremi Mac," ugotavlja M.Léveillé.
Pripisovanje avtorstva in viktimologija ostajata skrivnost
Zaenkrat so stvari zamegljene, ko gre za izvor grožnje. Ena stvar, ki je jasna, je, da je namen storilcev vohunjenje in kraja intelektualne lastnine – potencialno namig o vrsti grožnje, saj je vohunjenje tradicionalno domena naprednih trajnih groženj (APT).
Vendar pa artefakti, ki jih je ESET uspel odkriti v napadih, niso pokazali nobene povezave z znanimi operacijami.
»Te kampanje nismo mogli pripisati znani skupini, niti zaradi podobnosti kode ali infrastrukture,« pravi M.Léveillé.
Še en namig: kampanja je tudi natančno ciljno usmerjena - običajno je značilnost bolj prefinjenih igralcev.
»Metapodatki iz računov za shranjevanje v oblaku, ki jih uporablja CloudMensis, so razkrili, da so se vzorci, ki smo jih analizirali, izvajali na 51 računalnikih Mac med 4. februarjem in 22. aprilom,« pravi M.Léveillé. Na žalost "nimamo informacij o geolokaciji ali vertikali žrtev, ker so datoteke izbrisane iz shrambe v oblaku."
Vendar pa v nasprotju z vidiki kampanje, podobnimi APT, stopnja prefinjenosti same zlonamerne programske opreme ni tako impresivna, je opozoril ESET.
"Splošna kakovost kode in pomanjkanje zakrivanja kaže, da avtorji morda niso dobro seznanjeni z razvojem Maca in niso tako napredni," pravi Poročilo.
M.Léveillé CloudMensis označuje kot srednje napredno grožnjo in ugotavlja, da za razliko od Izjemna vohunska programska oprema Pegasus skupine NSO, CloudMensis v svojo kodo ne vgrajuje ničelnega izkoriščanja.
»Nismo videli, da bi CloudMensis uporabil nerazkrite ranljivosti, da bi obšel Applove varnostne ovire,« pravi M.Léveillé. »Vendar smo ugotovili, da je CloudMensis uporabil znane ranljivosti (znane tudi kot enodnevne ali n-dnevne) na računalnikih Mac, ki ne poganjajo najnovejše različice macOS [za obhod varnostnih ublažitev]. Ne vemo, kako se vohunska programska oprema CloudMensis namesti na računalnike Mac žrtev, tako da morda v ta namen res uporabljajo nerazkrite ranljivosti, vendar lahko le ugibamo. To uvršča CloudMensis nekje v sredino na lestvici sofisticiranosti, več kot povprečno, a tudi ne najbolj sofisticirano.”
Kako zaščititi svoje podjetje pred CloudMensis in vohunsko programsko opremo
Da bi se izognili temu, da bi postali žrtev grožnje CloudMensis, uporaba ranljivosti za izogibanje ublažitvam macOS pomeni, da je uporaba posodobljenih računalnikov Mac prva obrambna linija za podjetja, pravi ESET. Čeprav začetni vektor ogrožanja v tem primeru ni znan, je dobra obramba tudi uvedba vseh ostalih osnov, kot so močna gesla in usposabljanje za lažno predstavljanje.
Raziskovalci so tudi priporočili vklop Applov novi način zaklepanja lastnost.
"Apple je pred kratkim priznal prisotnost vohunske programske opreme, ki cilja na uporabnike njegovih izdelkov, in pripravlja predogled Lockdown Mode v sistemih iOS, iPadOS in macOS, ki onemogoča funkcije, ki se pogosto izkoriščajo za pridobitev izvajanja kode in uvajanje zlonamerne programske opreme," v skladu z analizo. "Onemogočanje vstopnih točk na račun manj tekoče uporabniške izkušnje se sliši kot razumen način za zmanjšanje površine napada."
Predvsem pa M.Léveillé opozarja podjetja, da ne bodo zazibana v lažen občutek varnosti, ko gre za računalnike Mac. Medtem ko je zlonamerna programska oprema, ki cilja na računalnike Mac, tradicionalno manj razširjena kot grožnje Windows ali Linux, to se zdaj spreminja.
"Podjetja, ki uporabljajo računalnike Mac v svojem voznem parku, bi jih morala zaščititi na enak način, kot bi zaščitila računalnike z operacijskim sistemom Windows ali katerim koli drugim operacijskim sistemom," opozarja. »Ker se prodaja računalnikov Mac iz leta v leto povečuje, so njihovi uporabniki postali zanimiva tarča za finančno motivirane kriminalce. Groženjske skupine, ki jih sponzorira država, imajo tudi sredstva za prilagoditev svojim tarčam in razvoj zlonamerne programske opreme, ki jo potrebujejo za izpolnitev svojih nalog, ne glede na operacijski sistem.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
