神秘的、支持云的 MacOS 间谍软件横空出世

由柏拉图重新发布

关注： 0

一个以前不为人知的 macOS 间谍软件在一场针对性很强的活动中浮出水面，该活动从 Apple 机器上窃取文档、击键、屏幕截图等。有趣的是，它专门使用公共云存储服务来容纳有效载荷和命令与控制 (C2) 通信——这是一种不寻常的设计选择，难以追踪和分析威胁。

该后门被 ESET 的研究人员发现它称为 CloudMensis，它是用 Objective-C 开发的。 ESET 对本周发布的恶意软件的分析表明，经过初步妥协后，该活动背后的网络攻击者利用已知漏洞获得了代码执行和权限提升。然后，他们安装了一个第一阶段加载器组件，该组件从云存储提供商处检索实际的间谍软件有效负载。在该公司分析的样本中，pCloud 用于存储和交付第二阶段，但该恶意软件还支持 Dropbox 和 Yandex 作为云存储库。

然后，间谍组件开始从受感染的 Mac 中收集大量敏感数据，包括文件、电子邮件附件、消息、录音和按键。总之，研究人员表示它支持 39 种不同的命令，包括下载其他恶意软件的指令。

所有非法获取的数据都使用间谍代理中的公钥加密；根据 ESET 的说法，它需要 CloudMensis 运营商拥有的私钥来解密。

云中的间谍软件

根据分析，除了 Mac 间谍软件很少见之外，该活动最值得注意的方面是它对云存储的独家使用。

“CloudMensis 犯罪者在 Dropbox 或 pCloud 等云存储提供商上创建帐户，”ESET 高级恶意软件研究员 Marc-Etienne M.Léveillé 向 Dark Reading 解释道。 “CloudMensis 间谍软件包含身份验证令牌，允许他们从这些帐户上传和下载文件。当操作员想要向其中一个机器人发送命令时，他们会将文件上传到云存储。 CloudMensis 间谍代理将获取该文件，对其进行解密，然后运行该命令。该命令的结果被加密并上传到云存储，供运营商下载和解密。”

这种技术意味着恶意软件样本中既没有域名也没有 IP 地址，他补充道：“缺乏此类指标使得在网络级别跟踪基础设施和阻止 CloudMensis 变得困难。”

虽然是一种值得注意的方法，但它之前已被 PC 世界中的一些团体使用过盗梦空间（又名云图集）和 APT37 （又名收割者或第 123 组）。然而，“我认为这是我们第一次在 Mac 恶意软件中看到它，”M.Léveillé 指出。

归因，受害者学仍然是个谜

到目前为止，当谈到威胁的来源时，事情还很模糊。有一点很清楚，肇事者的意图是间谍活动和知识产权盗窃——这可能是威胁类型的线索，因为间谍活动传统上是高级持续性威胁 (APT) 的领域。

然而，ESET 能够从攻击中发现的工件与已知操作无关。

M.Léveillé 说：“我们不能将这个活动归因于一个已知的群体，无论是代码相似性还是基础设施。”

另一个线索：该活动也有针对性——通常是更老练的演员的标志。

“来自 CloudMensis 使用的云存储帐户的元数据显示，我们分析的样本已在 51 月 4 日至 22 月 XNUMX 日期间在 XNUMX 台 Mac 上运行，”M.Léveillé 说。不幸的是，“我们没有关于受害者的地理位置或垂直方向的信息，因为文件已从云存储中删除。”

然而，ESET 指出，与该活动的 APT 类似的方面相比，恶意软件本身的复杂程度并不那么令人印象深刻。

“代码的一般质量和缺乏混淆表明作者可能对 Mac 开发不是很熟悉，也不是那么先进，”根据那个报告.

M.Léveillé 将 CloudMensis 描述为中高级威胁，并指出不像 NSO Group 强大的 Pegasus 间谍软件，CloudMensis 没有在其代码中构建零日漏洞。

“我们没有看到 CloudMensis 使用未公开的漏洞绕过 Apple 的安全屏障，”M.Léveillé 说。 “但是，我们确实发现 CloudMensis 在未运行最新版本 macOS 的 Mac 上使用了已知漏洞（也称为一天或 n 天）[绕过安全缓解措施]。我们不知道 CloudMensis 间谍软件是如何安装在受害者的 Mac 上的，因此也许他们确实为此目的使用了未公开的漏洞，但我们只能推测。这将 CloudMensis 置于复杂程度的中间位置，高于平均水平，但也不是最复杂的。”