Ett tidigare okänt spionprogram för macOS har dykt upp i en mycket riktad kampanj, som exfiltrerar dokument, tangenttryckningar, skärmdumpar och mer från Apple-maskiner. Intressant nog använder den uteslutande offentliga molnlagringstjänster för husnyttolaster och för kommando-och-kontroll (C2) kommunikation - ett ovanligt designval som gör det svårt att spåra och analysera hotet.
Döpt till CloudMensis av forskarna vid ESET som upptäckte det, bakdörren utvecklades i Objective-C. ESET:s analys av den skadliga programvaran som släpptes den här veckan visar att cyberattackarna bakom kampanjen efter den första kompromissen får kodexekvering och privilegieskalering med hjälp av kända sårbarheter. Sedan installerar de en första stegs laddarkomponent som hämtar den faktiska nyttolasten för spionprogram från en molnlagringsleverantör. I provet som företaget analyserade användes pCloud för att lagra och leverera det andra steget, men skadlig programvara stöder även Dropbox och Yandex som molnlager.
Spionkomponenten börjar sedan samla in en mängd känsliga data från den komprometterade Mac-datorn, inklusive filer, e-postbilagor, meddelanden, ljudinspelningar och tangenttryckningar. Sammanlagt sa forskare att det stöder 39 olika kommandon, inklusive ett direktiv för att ladda ner ytterligare skadlig programvara.
All dåligt hämtad data krypteras med en offentlig nyckel som finns i spionagenten; och det kräver en privat nyckel, som ägs av CloudMensis-operatörerna, för dess dekryptering, enligt ESET.
Spionprogram i molnet
Den mest anmärkningsvärda aspekten av kampanjen, förutom det faktum att Mac-spionprogram är ett sällsynt fynd, är dess exklusiva användning av molnlagring, enligt analysen.
"CloudMensis-förövare skapar konton på molnlagringsleverantörer som Dropbox eller pCloud," förklarar Marc-Etienne M.Léveillé, senior malware-forskare på ESET, för Dark Reading. "Spywareprogrammet CloudMensis innehåller autentiseringstokens som låter dem ladda upp och ladda ner filer från dessa konton. När operatörerna vill skicka ett kommando till en av dess bots laddar de upp en fil till molnlagringen. CloudMensis spionagent kommer att hämta den filen, dekryptera den och köra kommandot. Resultatet av kommandot krypteras och laddas upp till molnlagringen för operatörerna att ladda ner och dekryptera.”
Den här tekniken innebär att det inte finns något domännamn eller IP-adress i proverna av skadlig programvara, tillägger han: "Frånvaron av en sådan indikator gör det svårt att spåra infrastruktur och blockera CloudMensis på nätverksnivå."
Även om det är ett anmärkningsvärt tillvägagångssätt, har det använts i PC-världen tidigare av grupper som Start (alias Cloud Atlas) och APT37 (aka Reaper eller Group 123). Men "Jag tror att det är första gången vi har sett det i Mac malware", konstaterar M.Léveillé.
Attribution, Victimology Remain a Mystery
Än så länge är det, ja, grumligt när det kommer till härkomsten av hotet. En sak som är tydlig är att förövarnas avsikt är spionage och stöld av immateriella rättigheter – potentiellt en ledtråd om typen av hot, eftersom spioneri traditionellt sett är domänen för avancerade ihållande hot (APT).
Artefakterna som ESET kunde avslöja från attackerna visade dock inga kopplingar till kända operationer.
"Vi kunde inte tillskriva den här kampanjen till en känd grupp, varken från kodlikheten eller infrastrukturen", säger M.Léveillé.
En annan ledtråd: Kampanjen är också hårt riktad - vanligtvis kännetecknet för mer sofistikerade skådespelare.
"Metadata från molnlagringskonton som används av CloudMensis avslöjade att proverna vi analyserade har körts på 51 Mac-datorer mellan 4 februari och 22 april", säger M.Léveillé. Tyvärr, "vi har ingen information om offrens geolokalisering eller vertikal eftersom filer raderas från molnlagringen."
Men för att motverka de APT-iska aspekterna av kampanjen är sofistikeringsnivån för själva skadliga programvaran inte så imponerande, noterade ESET.
"Den allmänna kvaliteten på koden och bristen på förvirring visar att författarna kanske inte är så bekanta med Mac-utveckling och inte är så avancerade," enligt rapporten.
M.Léveillé karakteriserar CloudMensis som ett medelavancerat hot och noterade att till skillnad från NSO Groups formidabla Pegasus spionprogram, CloudMensis bygger inga zero-day exploits i sin kod.
"Vi såg inte CloudMensis använda hemliga sårbarheter för att kringgå Apples säkerhetsbarriärer", säger M.Léveillé. "Men vi upptäckte att CloudMensis använde kända sårbarheter (även känd som en-dag eller n-dag) på Mac-datorer som inte kör den senaste versionen av macOS [för att kringgå säkerhetsbegränsningar]. Vi vet inte hur CloudMensis spionprogram är installerat på offrens Mac-datorer så kanske de använder hemliga sårbarheter för det ändamålet, men vi kan bara spekulera. Detta placerar CloudMensis någonstans i mitten av sofistikerad skala, mer än genomsnittet, men inte heller den mest sofistikerade.”
Hur du skyddar ditt företag från CloudMensis och spionprogram
För att undvika att bli ett offer för CloudMensis-hotet innebär användningen av sårbarheter för att kringgå macOS-reducering att körning av uppdaterade Mac-datorer är den första försvarslinjen för företag, enligt ESET. Även om den initiala kompromissvektorn inte är känd i det här fallet, är det också ett bra försvar att implementera resten av grunderna som starka lösenord och träning för nätfiske.
Forskare rekommenderade också att slå på Apples nya låsningsläge särdrag.
"Apple har nyligen erkänt närvaron av spionprogram som riktar sig till användare av dess produkter och förhandsgranskar låsningsläge på iOS, iPadOS och macOS, vilket inaktiverar funktioner som ofta utnyttjas för att få kodexekvering och distribuera skadlig programvara", enligt analysen. "Att inaktivera ingångspunkter, på bekostnad av en mindre flytande användarupplevelse, låter som ett rimligt sätt att minska attackytan."
Framför allt varnar M.Léveillé företag från att invaggas i en falsk känsla av säkerhet när det kommer till Mac. Även om skadlig programvara som riktar sig till Mac-datorer traditionellt har varit mindre utbredd än Windows- eller Linux-hot, det håller på att förändras nu.
"Företag som använder Mac-datorer i sin maskinpark bör skydda dem på samma sätt som de skulle skydda datorer som kör Windows eller andra operativsystem", varnar han. "Med Mac-försäljningen som ökar år efter år har deras användare blivit ett intressant mål för ekonomiskt motiverade brottslingar. Statssponsrade hotgrupper har också resurserna att anpassa sig till sina mål och utveckla den skadliga programvara de behöver för att utföra sina uppdrag, oavsett operativsystem.”
