สปายแวร์ macOS ที่ลึกลับและเปิดใช้งานบนคลาวด์พุ่งเข้าสู่ฉาก

สปายแวร์ macOS ที่ไม่รู้จักก่อนหน้านี้ได้ปรากฏในแคมเปญที่มีเป้าหมายสูง ซึ่งจะกรองเอกสาร การกดแป้นพิมพ์ การจับภาพหน้าจอ และอื่นๆ จากเครื่องของ Apple ที่น่าสนใจคือมันใช้บริการพื้นที่เก็บข้อมูลบนคลาวด์สาธารณะโดยเฉพาะสำหรับ payloads ที่อยู่อาศัยและสำหรับการสื่อสารด้วยคำสั่งและการควบคุม (C2) ซึ่งเป็นตัวเลือกการออกแบบที่ผิดปกติซึ่งทำให้ยากต่อการติดตามและวิเคราะห์ภัยคุกคาม

นักวิจัยที่ ESET ได้ขนานนามว่า CloudMensis นั้น แบ็คดอร์ได้รับการพัฒนาใน Objective-C การวิเคราะห์มัลแวร์ของ ESET ที่เผยแพร่ในสัปดาห์นี้แสดงให้เห็นว่าหลังจากการประนีประนอมในเบื้องต้น ผู้โจมตีทางอินเทอร์เน็ตที่อยู่เบื้องหลังแคมเปญจะได้รับการเรียกใช้โค้ดและการยกระดับสิทธิ์โดยใช้ช่องโหว่ที่ทราบ จากนั้นพวกเขาจะติดตั้งส่วนประกอบตัวโหลดขั้นตอนแรกที่ดึงข้อมูลสปายแวร์จริงจากผู้ให้บริการที่เก็บข้อมูลบนคลาวด์ ในตัวอย่างที่บริษัทวิเคราะห์ pCloud ถูกใช้เพื่อจัดเก็บและส่งมอบขั้นตอนที่สอง แต่มัลแวร์ยังรองรับ Dropbox และ Yandex เป็นที่เก็บคลาวด์

จากนั้นองค์ประกอบสายลับจะเริ่มต้นการรวบรวมข้อมูลที่ละเอียดอ่อนจำนวนมากจาก Mac ที่ถูกบุกรุก ซึ่งรวมถึงไฟล์ ไฟล์แนบในอีเมล ข้อความ การบันทึกเสียง และการกดแป้นพิมพ์ โดยรวมแล้ว นักวิจัยกล่าวว่ารองรับคำสั่งต่างๆ 39 คำสั่ง รวมถึงคำสั่งในการดาวน์โหลดมัลแวร์เพิ่มเติม

ข้อมูลที่ไม่ถูกต้องทั้งหมดจะถูกเข้ารหัสโดยใช้กุญแจสาธารณะที่พบในสายลับ และต้องใช้คีย์ส่วนตัวซึ่งเป็นเจ้าของโดยตัวดำเนินการ CloudMensis สำหรับการถอดรหัสตาม ESET

สปายแวร์ในคลาวด์

ด้านที่โดดเด่นที่สุดของแคมเปญนี้ นอกเหนือจากความจริงที่ว่าสปายแวร์ Mac เป็นสิ่งที่หาได้ยากคือการใช้ที่เก็บข้อมูลบนคลาวด์โดยเฉพาะตามการวิเคราะห์

“ผู้กระทำความผิด CloudMensis สร้างบัญชีบนผู้ให้บริการพื้นที่เก็บข้อมูลบนคลาวด์ เช่น Dropbox หรือ pCloud” Marc-Etienne M.Léveillé นักวิจัยมัลแวร์อาวุโสของ ESET อธิบายให้ Dark Reading อธิบาย “สปายแวร์ CloudMensis มีโทเค็นการตรวจสอบสิทธิ์ที่อนุญาตให้อัปโหลดและดาวน์โหลดไฟล์จากบัญชีเหล่านี้ เมื่อโอเปอเรเตอร์ต้องการส่งคำสั่งไปยังบอทตัวใดตัวหนึ่ง พวกเขาอัปโหลดไฟล์ไปยังที่เก็บข้อมูลบนคลาวด์ เอเจนต์สายลับ CloudMensis จะดึงไฟล์นั้น ถอดรหัสไฟล์ และรันคำสั่ง ผลลัพธ์ของคำสั่งจะถูกเข้ารหัสและอัปโหลดไปยังที่เก็บข้อมูลบนคลาวด์เพื่อให้โอเปอเรเตอร์ดาวน์โหลดและถอดรหัส”

เทคนิคนี้หมายความว่าไม่มีชื่อโดเมนหรือที่อยู่ IP ในตัวอย่างมัลแวร์ เขาเสริมว่า: "การไม่มีตัวบ่งชี้ดังกล่าวทำให้ยากต่อการติดตามโครงสร้างพื้นฐานและบล็อก CloudMensis ที่ระดับเครือข่าย"

แม้ว่าจะเป็นแนวทางที่โดดเด่น แต่ก็เคยถูกใช้ในโลกพีซีมาก่อนโดยกลุ่มต่างๆ เช่น จัดตั้งกองทุน (หรือที่เรียกว่า Cloud Atlas) และ APT37 (หรือที่รู้จักในนาม Reaper หรือกลุ่ม 123) อย่างไรก็ตาม “ฉันคิดว่านี่เป็นครั้งแรกที่เราได้เห็นมันในมัลแวร์ Mac” M.Léveillé กล่าว

การแสดงที่มา เหยื่อวิทยายังคงเป็นปริศนา

จนถึงตอนนี้ สิ่งต่าง ๆ มีเมฆมากเมื่อพูดถึงที่มาของภัยคุกคาม สิ่งหนึ่งที่ชัดเจนคือเจตนาของผู้กระทำความผิดคือการจารกรรมและการขโมยทรัพย์สินทางปัญญา ซึ่งอาจเป็นเบาะแสเกี่ยวกับประเภทของภัยคุกคาม เนื่องจากการสอดแนมเป็นโดเมนของภัยคุกคามต่อเนื่องขั้นสูง (APT)

อย่างไรก็ตาม สิ่งประดิษฐ์ที่ ESET สามารถค้นพบได้จากการโจมตีนั้นไม่เกี่ยวข้องกับการดำเนินการที่ทราบ

“เราไม่สามารถระบุแหล่งที่มาของแคมเปญนี้กับกลุ่มที่รู้จัก ทั้งจากความคล้ายคลึงของโค้ดหรือโครงสร้างพื้นฐาน” M.Léveillé กล่าว

เงื่อนงำอีกประการหนึ่ง: แคมเปญนี้มีเป้าหมายอย่างเข้มงวดเช่นกัน ซึ่งมักจะเป็นจุดเด่นของนักแสดงที่เก่งกว่า

“ข้อมูลเมตาจากบัญชีที่เก็บข้อมูลบนคลาวด์ที่ใช้โดย CloudMensis เปิดเผยว่าตัวอย่างที่เราวิเคราะห์นั้นทำงานบน Mac 51 เครื่องระหว่างวันที่ 4 กุมภาพันธ์ถึง 22 เมษายน” M.Léveillé กล่าว น่าเสียดายที่ “เราไม่มีข้อมูลเกี่ยวกับตำแหน่งทางภูมิศาสตร์หรือแนวดิ่งของเหยื่อ เนื่องจากไฟล์ถูกลบออกจากที่เก็บข้อมูลบนคลาวด์”

อย่างไรก็ตาม ในการตอบโต้แง่มุม APT-ish ของแคมเปญ ระดับความซับซ้อนของมัลแวร์เองนั้นไม่น่าประทับใจนัก ESET ตั้งข้อสังเกต

“คุณภาพโดยทั่วไปของโค้ดและการขาดความสับสนแสดงให้เห็นว่าผู้เขียนอาจไม่คุ้นเคยกับการพัฒนา Mac มากนัก และไม่ก้าวหน้ามากนัก” อ้างอิงจากส รายงาน.

M.Léveillé กำหนดให้ CloudMensis เป็นภัยคุกคามระดับกลางและตั้งข้อสังเกตว่าไม่เหมือนกับ สปายแวร์ Pegasus ที่น่าเกรงขามของ NSO Group, CloudMensis ไม่มีการหาช่องโหว่แบบซีโร่เดย์ในโค้ด

“เราไม่เห็น CloudMensis ใช้ช่องโหว่ที่ไม่เปิดเผยเพื่อหลีกเลี่ยงอุปสรรคด้านความปลอดภัยของ Apple” M.Léveillé กล่าว “อย่างไรก็ตาม เราพบว่า CloudMensis ใช้ช่องโหว่ที่รู้จัก (หรือที่เรียกว่า one-day หรือ n-day) บน Mac ที่ไม่ได้ใช้งาน macOS เวอร์ชั่นล่าสุด [เพื่อเลี่ยงการบรรเทาความปลอดภัย] เราไม่ทราบว่าสปายแวร์ CloudMensis ถูกติดตั้งบน Mac ของเหยื่ออย่างไร ดังนั้นบางทีพวกเขาอาจใช้ช่องโหว่ที่ไม่เปิดเผยเพื่อจุดประสงค์นั้น แต่เราสามารถคาดเดาได้เท่านั้น สิ่งนี้ทำให้ CloudMensis อยู่ตรงกลางในระดับของความซับซ้อน มากกว่าค่าเฉลี่ย แต่ก็ไม่ซับซ้อนที่สุดเช่นกัน”

วิธีการปกป้องธุรกิจของคุณจาก CloudMensis & สปายแวร์

เพื่อหลีกเลี่ยงไม่ให้ตกเป็นเหยื่อของภัยคุกคาม CloudMensis การใช้ช่องโหว่เพื่อแก้ไขการบรรเทา macOS หมายความว่าการรัน Mac ที่อัปเดตเป็นแนวป้องกันแรกสำหรับธุรกิจตาม ESET แม้ว่าในกรณีนี้จะไม่รู้จักเวกเตอร์ประนีประนอมประนีประนอม แต่การใช้พื้นฐานที่เหลือทั้งหมด เช่น รหัสผ่านที่รัดกุมและการฝึกอบรมการรับรู้ฟิชชิ่งก็เป็นการป้องกันที่ดีเช่นกัน

นักวิจัยยังแนะนำให้เปิด โหมด Lockdown ใหม่ของ Apple ลักษณะ

“เมื่อเร็ว ๆ นี้ Apple ได้รับทราบว่ามีสปายแวร์ที่พุ่งเป้าไปที่ผู้ใช้ผลิตภัณฑ์ของตน และกำลังดูตัวอย่างโหมดล็อคดาวน์บน iOS, iPadOS และ macOS ซึ่งจะปิดการใช้งานคุณสมบัติที่มักถูกโจมตีเพื่อรับการเรียกใช้โค้ดและปรับใช้มัลแวร์” ตามการวิเคราะห์ “การปิดจุดเข้าใช้งานโดยเสียประสบการณ์ของผู้ใช้ที่ลื่นไหลน้อยลง ฟังดูเป็นวิธีที่สมเหตุสมผลในการลดพื้นผิวการโจมตี”

เหนือสิ่งอื่นใด M.Léveillé เตือนธุรกิจต่างๆ ไม่ให้ถูกหลอกให้เข้าใจผิดเกี่ยวกับความปลอดภัยเมื่อพูดถึง Mac แม้ว่าโดยปกติแล้วมัลแวร์ที่กำหนดเป้าหมายไปยัง Mac จะแพร่หลายน้อยกว่าภัยคุกคามของ Windows หรือ Linux ที่กำลังเปลี่ยนไป.

“ธุรกิจที่ใช้ Mac ในกลุ่มของตนควรปกป้องพวกเขาในลักษณะเดียวกับที่พวกเขาปกป้องคอมพิวเตอร์ที่ใช้ Windows หรือระบบปฏิบัติการอื่น ๆ” เขาเตือน “ด้วยยอดขาย Mac ที่เพิ่มขึ้นทุกปี ผู้ใช้ของพวกเขากลายเป็นเป้าหมายที่น่าสนใจสำหรับอาชญากรที่มีแรงจูงใจทางการเงิน กลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐยังมีทรัพยากรในการปรับให้เข้ากับเป้าหมายและพัฒนามัลแวร์ที่พวกเขาต้องการเพื่อบรรลุภารกิจโดยไม่คำนึงถึงระบบปฏิบัติการ”