Daha önce bilinmeyen bir macOS casus yazılımı, Apple makinelerinden belgeleri, tuş vuruşlarını, ekran görüntülerini ve daha fazlasını sızdıran, yüksek oranda hedeflenmiş bir kampanyada ortaya çıktı. İlginç bir şekilde, yalnızca yükleri barındırmak ve komuta ve kontrol (C2) iletişimleri için genel bulut depolama hizmetlerini kullanır – tehdidi izlemeyi ve analiz etmeyi zorlaştıran alışılmadık bir tasarım seçimi.
ESET’te onu keşfeden araştırmacılar tarafından CloudMensis olarak adlandırılan arka kapı, Objective-C’de geliştirildi. ESET’in bu hafta yayınlanan kötü amaçlı yazılım analizi, ilk güvenlik açığından sonra, kampanyanın arkasındaki siber saldırganların bilinen güvenlik açıklarını kullanarak kod yürütme ve ayrıcalık yükseltme elde ettiğini gösteriyor. Ardından, bir bulut depolama sağlayıcısından gerçek casus yazılım yükünü alan bir birinci aşama yükleyici bileşeni kurarlar. Firmanın analiz ettiği örnekte, ikinci aşamayı depolamak ve teslim etmek için pCloud kullanıldı, ancak kötü amaçlı yazılım ayrıca bulut depoları olarak Dropbox ve Yandex’i de destekliyor.
Casus bileşen daha sonra, dosyalar, e-posta ekleri, mesajlar, ses kayıtları ve tuş vuruşları dahil olmak üzere güvenliği ihlal edilmiş Mac’ten çok sayıda hassas veriyi toplamaya başlar. Araştırmacılar, ek kötü amaçlı yazılım indirme yönergesi de dahil olmak üzere 39 farklı komutu desteklediğini söyledi.
Tüm haksız elde edilen veriler, casus ajanda bulunan bir genel anahtar kullanılarak şifrelenir; ve ESET’e göre şifresinin çözülmesi için CloudMensis operatörlerine ait özel bir anahtar gerekir.
Buluttaki casus yazılım
Kampanyanın en dikkat çekici yönü, Mac casus yazılımının nadir bulunan bir bulgu olması dışında, analize göre özel bulut depolama kullanımıdır.
ESET’te kıdemli kötü amaçlı yazılım araştırmacısı olan Marc-Etienne M.Léveillé, Dark Reading’e “CloudMensis failleri, Dropbox veya pCloud gibi bulut depolama sağlayıcılarında hesaplar oluşturuyor” diye açıklıyor. “CloudMensis casus yazılımı, bu hesaplardan dosya yüklemelerine ve indirmelerine izin veren kimlik doğrulama belirteçleri içeriyor. Operatörler botlarından birine komut göndermek istediklerinde, bulut deposuna bir dosya yüklerler. CloudMensis casus aracısı bu dosyayı alır. , şifresini çözün ve komutu çalıştırın. Komutun sonucu şifrelenir ve operatörlerin indirmesi ve şifresini çözmesi için bulut deposuna yüklenir.”
Bu teknik, kötü amaçlı yazılım örneklerinde alan adı veya IP adresi olmadığı anlamına geliyor ve ekliyor: “Böyle bir göstergenin olmaması, altyapıyı izlemeyi ve CloudMensis’i ağ düzeyinde engellemeyi zorlaştırıyor.”
Kayda değer bir yaklaşım olsa da, PC dünyasında Inception (aka Cloud Atlas) ve APT37 (aka Reaper veya Group 123) gibi gruplar tarafından daha önce kullanılmıştı. Ancak M.Léveillé, “Sanırım bunu Mac kötü amaçlı yazılımlarında ilk kez görüyoruz” diyor.
İlişkilendirme, Mağduriyet Bir Gizem Olarak Kalıyor
Şimdiye kadar, tehdidin kaynağı söz konusu olduğunda işler bulanık. Açık olan bir şey, faillerin niyetinin casusluk ve fikri mülkiyet hırsızlığı olduğudur – casusluk geleneksel olarak gelişmiş kalıcı tehditlerin (APT’ler) alanı olduğundan, potansiyel olarak tehdidin türü hakkında bir ipucu.
Ancak, ESET’in saldırılardan ortaya çıkardığı eserler, bilinen operasyonlarla hiçbir bağ göstermedi.
M.Léveillé, “Bu kampanyayı ne kod benzerliğinden ne de altyapıdan bilinen bir gruba bağlayamadık” diyor.
Başka bir ipucu: Kampanya aynı zamanda sıkı bir şekilde hedefleniyor – genellikle daha sofistike aktörlerin ayırt edici özelliği.
M.Léveillé, “CloudMensis tarafından kullanılan bulut depolama hesaplarından alınan meta veriler, analiz ettiğimiz örneklerin 4 Şubat ile 22 Nisan arasında 51 Mac’te çalıştığını ortaya çıkardı” diyor. Ne yazık ki, “dosyalar bulut deposundan silindiği için kurbanların coğrafi konumu veya dikey durumu hakkında hiçbir bilgimiz yok.”
Ancak ESET, kampanyanın APT’ye benzer yönlerine karşılık, kötü amaçlı yazılımın karmaşıklık düzeyinin o kadar da etkileyici olmadığını belirtti.
“Kodun genel kalitesi ve karışıklığın olmaması, yazarların Mac geliştirmeye pek aşina olmayabileceğini ve o kadar ileri düzeyde olmadığını gösteriyor” rapor.
M.Léveillé, CloudMensis’i orta düzeyde gelişmiş bir tehdit olarak nitelendiriyor ve NSO Group’un zorlu Pegasus casus yazılımının aksine CloudMensis’in koduna sıfır gün açıklarından yararlanmadığını kaydetti.
M.Léveillé, “CloudMensis’in Apple’ın güvenlik bariyerlerini aşmak için açıklanmayan güvenlik açıkları kullandığını görmedik” diyor. “Ancak, MacOS’un en son sürümünü çalıştırmayan Mac’lerde CloudMensis’in bilinen güvenlik açıklarını (bir günlük veya n-gün olarak da bilinir) kullandığını gördük. [to bypass security mitigations]. CloudMensis casus yazılımının kurbanların Mac’lerine nasıl yüklendiğini bilmiyoruz, bu nedenle belki de bu amaçla açıklanmayan güvenlik açıklarını kullanıyorlar, ancak yalnızca tahmin yürütebiliriz. Bu, CloudMensis’i karmaşıklık ölçeğinde ortalamanın üzerinde, ancak en karmaşık olanı da değil, ortada bir yere yerleştiriyor.”
İşletmenizi CloudMensis ve Casus Yazılımlardan Nasıl Korursunuz?
CloudMensis tehdidinin kurbanı olmaktan kaçınmak için, macOS hafifletmelerini gidermek için güvenlik açıklarının kullanılması, ESET’e göre güncel Mac’leri çalıştırmanın işletmeler için ilk savunma hattı olduğu anlamına geliyor. Bu durumda ilk tehlike vektörü bilinmese de, güçlü parolalar ve kimlik avı farkındalığı eğitimi gibi geri kalan tüm temel özellikleri uygulamak da iyi bir savunmadır.
Araştırmacılar ayrıca Apple’ın yeni Kilitleme Modu özelliğini açmayı önerdiler.
Analize göre, “Apple kısa süre önce, ürünlerinin kullanıcılarını hedefleyen casus yazılımların varlığını kabul etti ve iOS, iPadOS ve macOS’ta, kod yürütme elde etmek ve kötü amaçlı yazılım dağıtmak için sıkça kullanılan özellikleri devre dışı bırakan Kilitleme Modu’nu önizliyor”. “Daha az akıcı bir kullanıcı deneyimi pahasına giriş noktalarını devre dışı bırakmak, saldırı yüzeyini azaltmak için makul bir yol gibi görünüyor.”
Her şeyden önce, M.Léveillé, Mac’ler söz konusu olduğunda işletmeleri yanlış bir güvenlik duygusuna kapılmaya karşı uyarır. Mac’leri hedefleyen kötü amaçlı yazılımlar geleneksel olarak Windows veya Linux tehditlerinden daha az yaygın olsa da, bu artık değişiyor.
“Filolarında Mac kullanan işletmeler, onları Windows veya diğer işletim sistemlerini çalıştıran bilgisayarları korudukları gibi korumalıdır” diye uyarıyor. “Mac satışlarının yıldan yıla artmasıyla, kullanıcıları finansal olarak motive olmuş suçlular için ilginç bir hedef haline geldi. Devlet destekli tehdit grupları, hedeflerine uyum sağlamak ve görevlerini yerine getirmek için ihtiyaç duydukları kötü amaçlı yazılımları geliştirmek için kaynaklara da sahipler. işletim sistemi.”
