Araştırmacılar, Apple macOS Sistemlerini Hedefleyen Yeni Sofistike Araç Setini Keşfediyor


19 Haziran 2023Ravie LakshmananUç Nokta Güvenliği / Hacking

Apple macOS Sistemleri

Siber güvenlik araştırmacıları, Apple macOS sistemlerini hedefleyen gelişmiş bir araç setinin parçası olduğunu söyledikleri bir dizi kötü amaçlı yapı ortaya çıkardı.

Bitdefender araştırmacıları Andrei Lapusneanu ve Bogdan Botezatu Cuma günü yayınlanan bir ön raporda, “Şu an itibariyle, bu örnekler hala büyük ölçüde tespit edilemedi ve bunlardan herhangi biri hakkında çok az bilgi mevcut” dedi.

Rumen firmasının analizi, adı açıklanmayan bir kurban tarafından VirusTotal’a yüklenen dört örneğin incelenmesine dayanıyor. En eski örnek 18 Nisan 2023’e kadar uzanıyor.

Üç kötü amaçlı programdan ikisinin Windows, Linux ve macOS sistemlerini hedeflemek için tasarlanmış genel Python tabanlı arka kapılar olduğu söyleniyor. Yükler toplu olarak adlandırıldı jokercasus.

İlk bileşen, başlatıldığında bir işletim sistemi denetimi çalıştıran (Windows için 0, macOS için 1 ve Linux için 2) ve yürütme için ek yönergeler almak üzere uzak bir sunucuyla bağlantı kuran share.dat’tır.

Siber güvenlik

Buna sistem bilgilerinin toplanması, komutların çalıştırılması, dosyaların kurban makineye indirilmesi ve çalıştırılması ve kendi kendini sonlandırması dahildir.

macOS çalıştıran cihazlarda, sunucudan alınan Base64 kodlu içerik, daha sonra paketinden çıkarılan ve “/Users/Shared/TempUser/AppleAccountAssistant.app” uygulaması olarak başlatılan “/Users/Shared/AppleAccount.tgz” adlı bir dosyaya yazılır.

Aynı yordam, Linux ana makinelerinde, “/etc/os-release” dosyasını kontrol ederek işletim sistemi dağıtımını doğrular. Daha sonra, Fedora’da cc komutunu ve Debian’da gcc’yi kullanarak “/tmp/.ICE-unix/git” adlı bir dosyada derlenen “tmp.c” geçici dosyasına C kodunu yazmaya devam eder.

Bitdefender ayrıca örnekler arasında “daha güçlü bir arka kapı” bulduğunu söyledi; bu dosya, sistem meta verilerini toplamak, dosyaları numaralandırmak, dosyaları silmek, komutları ve dosyaları yürütmek ve kodlanmış dosyaları sızdırmak için kapsamlı yeteneklerle birlikte gelen “sh.py” etiketli bir dosyadır. veriler toplu halde.

Üçüncü bileşen, Swift’te yazılmış ve macOS Monterey (sürüm 12) ve daha yenisini hedefleyen, xcc olarak bilinen bir FAT ikili dosyasıdır. Dosya, ikiz CPU mimarileri, x86 Intel ve ARM M1 için iki Mach-O dosyası barındırır.

Araştırmacılar, “Birincil amacı, görünüşe göre potansiyel bir casus yazılım bileşenini kullanmadan önce (muhtemelen ekranı yakalamak için) izinleri kontrol etmektir, ancak casus yazılım bileşeninin kendisini içermez” dedi.

YAKLAŞAN WEBİNAR

🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlama

API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!

Oturuma Katılın

“Bu, bu dosyaların daha karmaşık bir saldırının parçası olduğuna ve araştırdığımız sistemde birkaç dosyanın eksik olduğuna inanmamıza neden oluyor.”

xcc’nin casus yazılım bağlantıları, “/Users/joker/Downloads/Spy/XProtectCheck/” dosya içeriğinde tanımlanan bir yoldan ve Disk Erişimi, Ekran Kaydı ve Erişilebilirlik gibi izinleri denetlemesinden kaynaklanır.

Etkinliğin arkasındaki tehdit aktörlerinin kimliği henüz bilinmiyor. Şu anda ilk erişimin nasıl elde edildiği ve bunun bir sosyal mühendislik veya hedefli kimlik avı unsuru içerip içermediği de net değil.

Açıklama, Rus siber güvenlik şirketi Kaspersky’nin iOS cihazlarının 2019’da başlayan Üçgenleme Operasyonu adlı sofistike ve uzun soluklu bir mobil kampanyanın parçası olarak hedef alındığını açıklamasından iki haftadan biraz daha uzun bir süre sonra geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link