Một phần mềm gián điệp macOS chưa từng được biết đến trước đây đã xuất hiện trong một chiến dịch được nhắm mục tiêu cao, nó lấy cắp tài liệu, tổ hợp phím, chụp ảnh màn hình và hơn thế nữa từ các máy Apple. Điều thú vị là nó sử dụng độc quyền các dịch vụ lưu trữ đám mây công cộng cho tải trọng nhà ở và cho giao tiếp lệnh và kiểm soát (C2) - một lựa chọn thiết kế bất thường gây khó khăn cho việc theo dõi và phân tích mối đe dọa.
Được đặt tên là CloudMensis bởi các nhà nghiên cứu tại ESET, người đã phát hiện ra nó, backdoor được phát triển trong Objective-C. Phân tích của ESET về phần mềm độc hại được phát hành trong tuần này cho thấy rằng sau khi thỏa hiệp ban đầu, những kẻ tấn công mạng đằng sau chiến dịch giành được quyền thực thi mã và leo thang đặc quyền bằng cách sử dụng các lỗ hổng đã biết. Sau đó, họ cài đặt một thành phần trình tải giai đoạn đầu tiên để truy xuất tải trọng phần mềm gián điệp thực tế từ một nhà cung cấp dịch vụ lưu trữ đám mây. Trong mẫu mà công ty đã phân tích, pCloud được sử dụng để lưu trữ và phân phối giai đoạn thứ hai, nhưng phần mềm độc hại này cũng hỗ trợ Dropbox và Yandex dưới dạng kho lưu trữ đám mây.
Sau đó, thành phần gián điệp bắt đầu thu thập hàng loạt dữ liệu nhạy cảm từ máy Mac bị xâm nhập, bao gồm các tệp, tệp đính kèm email, tin nhắn, bản ghi âm và các lần nhấn phím. Tổng cộng, các nhà nghiên cứu cho biết nó hỗ trợ 39 lệnh khác nhau, bao gồm lệnh tải xuống phần mềm độc hại bổ sung.
Tất cả dữ liệu xấu được mã hóa bằng cách sử dụng khóa công khai được tìm thấy trong phần mềm gián điệp; và nó yêu cầu một khóa riêng, thuộc sở hữu của các nhà khai thác CloudMensis, để giải mã, theo ESET.
Phần mềm gián điệp trong đám mây
Theo phân tích, khía cạnh đáng chú ý nhất của chiến dịch, ngoài thực tế là phần mềm gián điệp Mac hiếm gặp, là việc sử dụng độc quyền lưu trữ đám mây của nó, theo phân tích.
“Thủ phạm CloudMensis tạo tài khoản trên các nhà cung cấp dịch vụ lưu trữ đám mây như Dropbox hoặc pCloud,” Marc-Etienne M.Léveillé, nhà nghiên cứu phần mềm độc hại cao cấp tại ESET, giải thích với Dark Reading. “Phần mềm gián điệp CloudMensis chứa mã thông báo xác thực cho phép họ tải lên và tải xuống tệp từ các tài khoản này. Khi các nhà khai thác muốn gửi một lệnh tới một trong các bot của nó, họ sẽ tải một tệp lên bộ nhớ đám mây. Tác nhân gián điệp CloudMensis sẽ tìm nạp tệp đó, giải mã tệp và chạy lệnh. Kết quả của lệnh được mã hóa và tải lên kho lưu trữ đám mây để các nhà khai thác tải xuống và giải mã ”.
Kỹ thuật này có nghĩa là không có tên miền cũng như địa chỉ IP trong các mẫu phần mềm độc hại, ông cho biết thêm: “Việc không có chỉ báo như vậy gây khó khăn cho việc theo dõi cơ sở hạ tầng và chặn CloudMensis ở cấp độ mạng.”
Trong khi một cách tiếp cận đáng chú ý, nó đã được sử dụng trong thế giới PC trước đây bởi các nhóm như Inception (hay còn gọi là Cloud Atlas) và APT37 (hay còn gọi là Reaper hoặc Nhóm 123). Tuy nhiên, “Tôi nghĩ đây là lần đầu tiên chúng tôi thấy nó trong phần mềm độc hại của Mac,” M.Léveillé lưu ý.
Ghi công, nạn nhân vẫn còn là một bí ẩn
Cho đến nay, mọi thứ vẫn còn mờ mịt khi nói đến nguồn gốc của mối đe dọa. Một điều rõ ràng là mục đích của thủ phạm là gián điệp và đánh cắp tài sản trí tuệ - có khả năng là manh mối về loại mối đe dọa, vì theo truyền thống, gián điệp là lĩnh vực của các mối đe dọa dai dẳng nâng cao (APT).
Tuy nhiên, các hiện vật mà ESET có thể phát hiện ra từ các cuộc tấn công cho thấy không có mối liên hệ nào với các hoạt động đã biết.
M.Léveillé nói: “Chúng tôi không thể quy chiến dịch này cho một nhóm đã biết, không phải từ sự tương đồng về mã hay cơ sở hạ tầng.
Một manh mối khác: Chiến dịch cũng được nhắm mục tiêu chặt chẽ - thường là dấu hiệu của những kẻ tinh vi hơn.
M.Léveillé cho biết: “Siêu dữ liệu từ các tài khoản lưu trữ đám mây được CloudMensis sử dụng tiết lộ các mẫu chúng tôi phân tích đã chạy trên 51 máy Mac từ ngày 4 tháng 22 đến ngày XNUMX tháng XNUMX,” M.Léveillé nói. Thật không may, “chúng tôi không có thông tin về vị trí địa lý hoặc ngành dọc của các nạn nhân vì các tệp đã bị xóa khỏi bộ nhớ đám mây”.
Tuy nhiên, đối chiếu với các khía cạnh APT-ish của chiến dịch, mức độ tinh vi của phần mềm độc hại không phải là ấn tượng, ESET lưu ý.
“Chất lượng chung của mã và thiếu sự xáo trộn cho thấy các tác giả có thể không quen thuộc lắm với sự phát triển của Mac và không quá nâng cao,” theo báo cáo.
M.Léveillé mô tả CloudMensis là một mối đe dọa trung bình cao cấp và lưu ý rằng không giống như Phần mềm gián điệp Pegasus đáng gờm của NSO Group, CloudMensis không xây dựng các khai thác zero-day vào mã của nó.
M.Léveillé cho biết: “Chúng tôi không thấy CloudMensis sử dụng các lỗ hổng chưa được tiết lộ để vượt qua các rào cản bảo mật của Apple. “Tuy nhiên, chúng tôi phát hiện ra rằng CloudMensis đã sử dụng các lỗ hổng đã biết (còn được gọi là một ngày hoặc n ngày) trên các máy Mac không chạy phiên bản macOS mới nhất [để vượt qua các biện pháp giảm thiểu bảo mật]. Chúng tôi không biết phần mềm gián điệp CloudMensis được cài đặt trên máy Mac của nạn nhân như thế nào nên có lẽ họ sử dụng các lỗ hổng chưa được tiết lộ cho mục đích đó, nhưng chúng tôi chỉ có thể suy đoán. Điều này đặt CloudMensis ở đâu đó ở mức độ tinh vi, hơn mức trung bình, nhưng cũng không phải là tinh vi nhất. ”
Cách bảo vệ Doanh nghiệp của bạn khỏi CloudMensis & Phần mềm gián điệp
Theo ESET, để tránh trở thành nạn nhân của mối đe dọa CloudMensis, việc sử dụng các lỗ hổng bảo mật để giải quyết các biện pháp giảm thiểu macOS có nghĩa là chạy các máy Mac cập nhật là tuyến phòng thủ đầu tiên cho các doanh nghiệp. Mặc dù vectơ thỏa hiệp ban đầu không được biết đến trong trường hợp này, nhưng việc triển khai tất cả những điều cơ bản còn lại như mật khẩu mạnh và đào tạo nhận thức về lừa đảo cũng là một cách bảo vệ tốt.
Các nhà nghiên cứu cũng khuyến nghị bật Chế độ Lockdown mới của Apple tính năng này.
“Apple gần đây đã thừa nhận sự hiện diện của phần mềm gián điệp nhắm mục tiêu người dùng các sản phẩm của mình và đang xem trước Chế độ Lockdown trên iOS, iPadOS và macOS, chế độ này vô hiệu hóa các tính năng thường xuyên bị khai thác để thực thi mã và triển khai phần mềm độc hại,” theo phân tích. “Vô hiệu hóa các điểm vào, với chi phí là trải nghiệm người dùng kém linh hoạt hơn, nghe có vẻ là một cách hợp lý để giảm bề mặt tấn công.”
Trên hết, M.Léveillé cảnh báo các doanh nghiệp không nên bị ru ngủ vào cảm giác an toàn sai lầm khi nói đến máy Mac. Mặc dù phần mềm độc hại nhắm mục tiêu đến máy Mac theo truyền thống ít phổ biến hơn các mối đe dọa Windows hoặc Linux, điều đó hiện đang thay đổi.
Ông cảnh báo: “Các doanh nghiệp sử dụng máy Mac trong đội của họ nên bảo vệ chúng giống như cách họ bảo vệ máy tính chạy Windows hoặc bất kỳ hệ điều hành nào khác. “Với việc doanh số Mac tăng lên hàng năm, người dùng của họ đã trở thành mục tiêu thú vị cho những tên tội phạm có động cơ tài chính. Các nhóm đe dọa do nhà nước bảo trợ cũng có các nguồn lực để thích ứng với các mục tiêu của chúng và phát triển phần mềm độc hại mà chúng cần để hoàn thành sứ mệnh của mình, bất kể hệ điều hành là gì ”.
