研究人員發現了以前未記錄的間諜軟件,稱為 CloudMensis,它針對 Apple macOS 系統。
ESET 的研究人員發現了一個以前未被檢測到的 macOS 后門,被跟蹤為 CloudMensis,它針對 macOS 系統并專門使用公共云存儲服務作為 C2。
該惡意軟件旨在監視目標系統、竊取文檔、獲取擊鍵和屏幕截圖。
CloudMensis 是在 Objective-C 中開發的,ESET 分析的樣本是針對 Intel 和 Apple 架構編譯的。
專家們尚未確定受害者最初是如何被此間諜軟件破壞的。
“但是,我們了解到,當獲得代碼執行和管理權限時,接下來是一個兩階段的過程,第一階段下載并執行功能更強大的第二階段。” 閱讀ESET 發布的報告。“有趣的是,這種第一階段的惡意軟件會從云存儲提供商那里檢索下一個階段。它不使用可公開訪問的鏈接;它包含一個訪問令牌,用于從驅動器下載 MyExecute 文件。在我們分析的樣本中, pCloud 用于存儲和交付第二階段。
專家指出,該惡意軟件因其分布非常有限而被用于高度針對性的操作。
ESET 詳細描述的攻擊鏈由兩個階段組成,在第一階段,惡意軟件從云存儲提供商處檢索其下一階段。惡意代碼包含一個訪問令牌,用于從驅動器下載 MyExecute 文件。在 ESET 分析的樣本中,惡意代碼使用pCloud 提供程序作為實現間諜軟件功能的第二階段惡意軟件的存儲。
對這兩個組件中的工件的分析表明,威脅的作者將它們稱為“執行”和“客戶端”。
“第一階段惡意軟件下載并安裝第二階段惡意軟件作為系統范圍的守護進程。” 繼續發帖。“在這個階段,攻擊者必須已經擁有管理權限,因為這兩個目錄都只能由 root 用戶修改。”
“執行”組件包括一個名為 removeRegistration 的方法,該方法在成功的 Safari 沙盒逃逸漏洞利用后進行清理。該漏洞利用鏈使用了 2017 年披露的四個漏洞,這種情況表明 CloudMensis 可能至少自 2017 年以來一直處于活動狀態,以逃避檢測。
該惡意軟件還能夠繞過透明、同意和控制 ( TCC ) 安全功能,該功能可防止任何應用程序在未經用戶明確同意的情況下訪問文檔、下載、桌面、iCloud Drive 和網絡卷中的文件。
專家們注意到,惡意軟件使用身份驗證令牌與存儲在 CloudMensis 配置中的多個云服務提供商(Dropbox、pCloud 和 Yandex Disk)進行通信,與 C2 基礎設施進行通信。
該后門支持39條命令,包括:
- 更改 CloudMensis 配置中的值:云存儲提供商和身份驗證令牌、被視為有趣的文件擴展名、云存儲的輪詢頻率等。
- 列出正在運行的進程
- 開始截屏
- 列出電子郵件和附件
- 列出可移動存儲中的文件
- 運行 shell 命令并將輸出上傳到云存儲
- 下載并執行任意文件
“據我們所知,這個惡意軟件家族的運營商將 CloudMensis 部署到他們感興趣的特定目標上。利用漏洞解決 macOS 緩解措施表明,惡意軟件運營商正在積極嘗試最大限度地提高其間諜活動的成功率。同時,在我們的研究過程中,沒有發現該小組使用了未公開的漏洞(零日漏洞)。” 報告結束。“因此,建議運行最新的 Mac,至少可以避免繞過緩解措施。”
