TTPS ve C2 sunucu detayları ortaya çıktı


Araştırmacılar, Apple sistemlerine sızmak ve hassas kullanıcı verilerini dışarı atmak için tasarlanmış ‘AppleProcessHub’ adlı yeni bir bilgi çalan kötü amaçlı yazılım belirlediler.

Bu keşif, genellikle güvenli bir platform olarak kabul edilen macOS’un giderek artan bir şekilde sofistike rakipler için bir hedef haline geldiği gelişen bir tehdit manzarasına ışık tutuyor.

Kötü amaçlı yazılım, Apple kullanıcılarının karşılaştığı tehditlerin artan karmaşıklığını vurgulayarak komut ve kontrol (C2) sunucuları ile tespit edilmesinden kaçınmak ve kalıcı iletişim kurmak için gelişmiş taktikler, teknikler ve prosedürler (TTP’ler) kullanır.

– Reklamcılık –
Google Haberleri

MacOS kötü amaçlı yazılım hassas verileri hedefler

‘AppleProcesshub’ Stealer, meşru bir sistem süreci olarak maskelenerek, MacOS’un yerel çerçevelerini çalışma ortamına karışmak için kullanarak çalışır.

Yürütüldükten sonra, kimlik avı kampanyaları veya kötü niyetli indirmeler yoluyla kullanıcı ayrıcalıklarının kullanılmasıyla başlayan çok aşamalı bir enfeksiyon zinciri başlatır.

Kötü amaçlı yazılım daha sonra, geleneksel güvenlik araçlarının algılanmasını önlemek için iletimden önce çalınan verileri şifreleyen anahtarlık verilerini, tarayıcı kimlik bilgilerini ve kripto para birimi cüzdan bilgilerini hedefleyen bir yük dağıtır.

AppleProcesshub
ikinci aşama bash betiği

Araştırmacılar, Stealer’ın kullanıcı alanında çalışarak MacOS’un Sistem Bütünlüğü Koruma (SIP) sınırlamalarını kullandığını ve böylece bazı çekirdek seviyesi güvencelerini atladığını belirtti.

Sistem API’larına bağlanma yeteneği, kullanıcı girişlerini kesmesine ve pano içeriğini kazımasına ve gizlilik ve finansal güvenlik için ciddi bir risk oluşturmasına olanak tanır.

Bu karmaşık tasarım, ‘AppleProcessHub’ın arkasındaki tehdit aktörlerinin macOS iç kısımlarının derin bir anlayışına sahip olduğunu ve muhtemelen iyi finanse edilmiş veya devlet destekli bir operasyonu gösterdiğini göstermektedir.

C2 Altyapı Analizi Saldırgan İşlemlerini Gösterir

Kötü amaçlı yazılım altyapısının daha fazla analizi, C2 iletişim mekanizmalarına ilişkin kritik bilgiler ortaya koymuştur.

Stealer, lansman ajanları ve daemons aracılığıyla kalıcılık oluşturur ve sistem yeniden başlatıldıktan sonra yeniden yüklenmesini sağlar.

Standart olmayan bağlantı noktaları üzerinde şifreli HTTP istekleri kullanarak C2 sunucularıyla iletişim kurar ve genellikle kötü niyetli niyetini maskelemek için trafiği tehlikeye atılmış meşru alanlardan yönlendirir.

Araştırmacılar, LAX siber güvenlik gözetimi için bilinen bölgelerde bulut hizmetlerinde barındırılmış gibi görünen C2 altyapısı ile ilişkili birkaç sert kodlanmış IP adresi ve alan belirlediler.

Bu kurulum sadece ilişkilendirmeyi karmaşıklaştırmakla kalmaz, aynı zamanda hızlı altyapının, kolluk kuvvetlerinin veya güvenlik satıcılarının yayından kaldırma girişimlerinden kaçınmasını sağlar.

Veri püskürtme için özel şifreleme protokollerinin kullanılması, kötü amaçlı yazılımların gizliliğe odaklanmasını gösterir, bu da ağ savunucularının transitteki çalınan bilgileri kesmesini veya çözmesini zorlaştırır.

Bu keşif, macOS kullanıcılarının iki faktörlü kimlik doğrulamasını etkinleştirme, yazılımı düzenli olarak güncelleme ve anormal davranışları tanımlayabilen uç nokta algılama ve yanıt (EDR) çözümlerinin dağıtılması da dahil olmak üzere sağlam güvenlik uygulamalarını benimsemelerine acil ihtiyaç olduğunu vurgular.

Ayrıcalık artışından veri hırsızlığına ‘AppleProcesshub’ ile ilişkili ayrıntılı TTP’ler, savunucuların hedeflenen algılama kuralları ve imzaları oluşturmaları için bir plan sunar.

Bu arada, maruz kalan C2 sunucu detayları, tehdit istihbarat ekiplerinin saldırganların operasyonlarını izleme ve bozma fırsatı sunar.

MacOS, işletmeler ve yüksek değerli hedefler arasında popülerlik kazanmaya devam ettikçe, bu tür tehditlerin çoğalması bekleniyor ve bu da güvenliğe proaktif bir yaklaşım gerektiriyor.

Bu olay, hiçbir platformun siber tehditlere karşı bağışık olmadığını ve dijital varlıkların giderek daha karmaşık düşmanlara karşı korunmasında çok önemli olduğunu hatırlatıyor.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link