Раніше невідоме шпигунське програмне забезпечення macOS з’явилося під час цілеспрямованої кампанії, яка викрадає документи, натискання клавіш, знімки екрана тощо з комп’ютерів Apple. Цікаво, що він використовує виключно загальнодоступні служби хмарного сховища для розміщення корисних навантажень і для комунікацій командно-контрольних (C2) — незвичайний вибір дизайну, який ускладнює відстеження та аналіз загрози.
Дослідники з ESET, які його відкрили, назвали CloudMensis, бекдор був розроблений у Objective-C. Аналіз зловмисного програмного забезпечення ESET, опублікованого цього тижня, показує, що після початкового злому кібератаки, які стоять за кампанією, отримують виконання коду та підвищення привілеїв за допомогою відомих уразливостей. Потім вони встановлюють компонент завантажувача першого етапу, який отримує фактичне корисне навантаження шпигунського програмного забезпечення від постачальника хмарного сховища. У зразку, проаналізованому фірмою, pCloud використовувався для зберігання та доставки другого етапу, але зловмисне програмне забезпечення також підтримує Dropbox і Yandex як хмарні сховища.
Потім шпигунський компонент збирає зграю конфіденційних даних зі зламаного Mac, включаючи файли, вкладення електронної пошти, повідомлення, аудіозаписи та натискання клавіш. Загалом, за словами дослідників, він підтримує 39 різних команд, включаючи директиву для завантаження додаткових шкідливих програм.
Усі незаконно отримані дані шифруються за допомогою відкритого ключа, знайденого в шпигунському агенті; Згідно з ESET, для його розшифровки потрібен закритий ключ, який належить операторам CloudMensis.
Шпигунське програмне забезпечення в хмарі
Згідно з аналізом, найбільш помітним аспектом кампанії, окрім того факту, що шпигунське програмне забезпечення для Mac є рідкістю, є його ексклюзивне використання хмарного сховища.
«Зловмисники CloudMensis створюють облікові записи в таких постачальниках хмарних сховищ, як Dropbox або pCloud», — пояснює Dark Reading Марк-Етьєн М.Левейле, старший дослідник зловмисного програмного забезпечення в ESET. «Шпигунське програмне забезпечення CloudMensis містить маркери автентифікації, які дозволяють їм завантажувати та завантажувати файли з цих облікових записів. Коли оператори хочуть надіслати команду одному зі своїх ботів, вони завантажують файл у хмарне сховище. Агент-шпигун CloudMensis отримає цей файл, розшифрує його та запустить команду. Результат команди шифрується та завантажується в хмарне сховище, щоб оператори могли його завантажити та розшифрувати».
Ця техніка означає, що у зразках зловмисного програмного забезпечення немає ні доменного імені, ні IP-адреси, додає він: «Відсутність такого індикатора ускладнює відстеження інфраструктури та блокування CloudMensis на рівні мережі».
Хоча це помітний підхід, він раніше використовувався у світі ПК такими групами, як Початок (він же хмарний атлас) і APT37 (він же Жнець або Група 123). Проте, «я думаю, що ми вперше бачимо це в зловмисному програмному забезпеченні Mac», — зазначає M.Léveillé.
Атрибуція, віктимологія залишаються загадкою
Поки що справа доходить до походження загрози. Одне зрозуміло: наміром зловмисників є шпигунство та крадіжка інтелектуальної власності, що потенційно може вказувати на тип загрози, оскільки шпигунство традиційно є сферою розширених постійних загроз (APT).
Однак артефакти, які ESET вдалося виявити під час атак, не показали зв’язку з відомими операціями.
«Ми не могли віднести цю кампанію до відомої групи ні через подібність коду, ні через інфраструктуру», — каже М. Левейє.
Ще одна підказка: кампанія також чітко націлена — зазвичай характерна риса більш досвідчених акторів.
«Метадані облікових записів хмарних сховищ, які використовує CloudMensis, показали, що зразки, які ми проаналізували, працювали на 51 комп’ютері Mac у період з 4 лютого по 22 квітня», — каже М.Левейле. На жаль, «ми не маємо інформації про геолокацію чи вертикаль жертв, оскільки файли видаляються з хмарного сховища».
Однак, на противагу APT-подібним аспектам кампанії, рівень складності самого шкідливого програмного забезпечення не такий вже й вражаючий, зазначає ESET.
«Загальна якість коду та відсутність обфускації вказують на те, що автори можуть бути не дуже знайомі з розробкою Mac і не настільки просунуті», — йдеться в повідомленні. доповідь.
M.Léveillé характеризує CloudMensis як загрозу середнього рівня та зазначив, що на відміну від Грізне шпигунське програмне забезпечення Pegasus від NSO Group, CloudMensis не вбудовує експлойтів нульового дня у свій код.
«Ми не бачили, щоб CloudMensis використовувала невідомі вразливості, щоб обійти бар’єри безпеки Apple», — каже М.Левейле. «Однак ми виявили, що CloudMensis використовував відомі вразливості (також відомі як one-day або n-day) на комп’ютерах Mac, які не працюють під керуванням останньої версії macOS [щоб обійти засоби захисту]. Ми не знаємо, як шпигунське програмне забезпечення CloudMensis встановлюється на комп’ютери Mac жертв, тому, можливо, вони використовують для цієї мети нерозголошені вразливості, але ми можемо лише припускати. Це ставить CloudMensis десь посередині за шкалою витонченості, більше середнього, але не найдосконалішого».
Як захистити свій бізнес від CloudMensis і шпигунського програмного забезпечення
Щоб не стати жертвою загрози CloudMensis, використання вразливостей для пом’якшення macOS означає, що використання оновлених комп’ютерів Mac є першою лінією захисту для бізнесу, згідно з ESET. Хоча початковий вектор компрометації в цьому випадку невідомий, впровадження всіх решти основ, таких як надійні паролі та тренінги щодо фішингу, також є хорошим захистом.
Дослідники також порекомендували включити Новий режим блокування від Apple функцію.
«Apple нещодавно визнала наявність шпигунського програмного забезпечення, націленого на користувачів її продуктів, і попередньо переглядає режим блокування на iOS, iPadOS і macOS, який вимикає функції, які часто використовують для виконання коду та розгортання шкідливого програмного забезпечення», — йдеться в аналізі. «Відключення точок входу за рахунок менш плавного взаємодії з користувачем звучить як розумний спосіб зменшити поверхню атаки».
Перш за все, M.Léveillé застерігає компанії від помилкового відчуття безпеки, коли мова заходить про Mac. Хоча зловмисне програмне забезпечення, націлене на Mac, традиційно було менш поширеним, ніж загрози Windows або Linux, що зараз змінюється.
«Підприємства, які використовують комп’ютери Mac у своєму парку, повинні захищати їх так само, як вони захищали б комп’ютери під керуванням Windows або будь-яких інших операційних систем», – попереджає він. «Оскільки продажі Mac з кожним роком зростають, їхні користувачі стали цікавою мішенню для фінансово мотивованих злочинців. Спонсоровані державою групи загроз також мають ресурси для адаптації до своїх цілей і розробки зловмисного програмного забезпечення, необхідного для виконання своїх завдань, незалежно від операційної системи».
