.webp?w=696&resize=696,0&ssl=1 "MacOS kullanıcıları")
Microsoft Tehdit İstihbaratı, XCSSET kötü amaçlı yazılım ailesinin MacOS geliştiricilerini silahlandırılmış Xcode projeleri aracılığıyla aktif olarak kullanan gelişmiş bir yinelemesini belirledi.
İlk olarak 2020’de belgelenen bu modüler arka kapı, şimdi gelişmiş gizleme teknikleri, rafine kalıcılık mekanizmaları ve Apple’ın güvenlik çerçevelerini yıkmak ve yazılım tedarik zincirlerini tehlikeye atmak için yeni enfeksiyon vektörlerini kullanıyor.
2024 varyantı, statik analizden kaçmak için çok katmanlı kodlama stratejileri sunar. Önceki sürümler, kötü niyetli mantığı belirlemek için SHC derlenmiş kabuk komut dosyalarına ve sadece çalıştırılmış elma metnine güvenirken, güncellenmiş gerinim, baz64 ve xxd hexdump işlemleri arasındaki kodlama algoritmalarını rastgele getiriyor.
Bu değişkenlik, her bir yük yinelemesi farklı kriptografik parmak izleri ürettiğinden, imza tabanlı algılamayı bozar.
En önemlisi, kötü amaçlı yazılım, çalışma zamanı boyunca kodlama yinelemelerini (5-9 döngü arasında) dinamik olarak seçer ve tersine mühendislik çabalarını daha da karmaşıklaştırır.
Dosya sistemi düzeyinde, XCSSET artık falsifiye uygulama demetleri içindeki modüler bileşenleri dağıtıyor.
Son kampanyalar, ~/kütüphane/uygulama komut dosyaları/com.apple.calendaragent gibi standart olmayan kütüphane alt dizinlerine stratejik olarak yerleştirilmiş bir sahte notalar.
Bu maskeli tekniği, MacOS’un sistem bitişik dizinlerine olan güvenini kullanarak beklemecı kontrollerini atlar.
Çift mekanizmalar yoluyla kalıcı yürütme
Kötü amaçlı yazılım, iki paralel metodoloji ile kalıcılık oluşturur:
Zshrc enjeksiyonu: XCSSET, kötü amaçlı kabuk komutlarını ~/.zshrc’ye ekleyerek, her terminal oturumunun başlatılmasında yükün yeniden etkinleştirilmesini sağlar. Bu, kodlanmış arka kapıyı içeren gizli bir komut dosyasını (~/.zshrc_aliases) yürütmek için MacOS’un varsayılan ZSH ortamından yararlanır.
Rıhtım API manipülasyonu: Komut ve kontrol (C2) sunucularından getirilen imzalı bir dockutil ikili kullanılarak kötü amaçlı yazılım, meşru Launchpad girişini kötü amaçlı bir muadil ile değiştirir.
Bu, normal sistem davranışının görünümünü korurken kullanıcılar rıhtımla etkileşime girdiğinde yürütmeyi sağlar.
Xcode Proje Enfeksiyon Metodolojileri
XCSSET’in güncellenmiş Replicator.applescript modülü, Xcode çalışma alanlarına sızmak için üç temel strateji kullanır:
Hedef enjeksiyon: “Paket Çerçevelerini Kopyala” veya “Swift çerçevelerini derleyin” gibi derleme aşamaları sırasında kötü amaçlı komut dosyalarını yürütmek üzere Target_Device_Family derleme ayarını değiştirir.
Kural Sömürü: Enjekler, genellikle meşru kod imzalama işlemleri olarak gizlenmiş ikili işleri birbirine bağlamadan önce yük yükü dağıtımını tetikleyen oluşturma kuralları oluşturur.
Forced_strategy yükleri: Mach-O kötü amaçlı yazılım ve bootstrap komut dosyaları içeren gizli varlıklara referans vermek için .pbxproj dosyaları doğrudan.
Bu teknikler, geliştiriciler GitHub veya Cocoapods depoları aracılığıyla enfekte olmuş projeleri paylaşarak potansiyel olarak aşağı yönlü uygulamalardan ödün verdiğinde tedarik zinciri saldırılarını mümkün kılar.
Endpoint için Microsoft Defender, XCSSET’in güncellenmiş modülleriyle ilişkili davranış kalıplarını tanıyor:
- Osacompile -x -e hedefleme standart olmayan uygulama demetleri aracılığıyla anormal elma metin derleme olayları.
- Planlanmamış ~/kütüphane/önbellek/geoservices/veya ~/kütüphane/önbellek/gitservices/dizinlere yazar.
- Superdocs.ru veya gismolow.com gibi yeni kayıtlı C2 alanlarına beklenmedik ağ trafiği.
Kuruluşlar, tüm Xcode bağımlılıkları için kod imzalama doğrulamasını uygulamalı ve ~/.ssh/yetkili_keylerde yetkisiz SSH anahtar üretimi için monitör olmalıdır.
Geliştiriciler, yabancı yapı aşaması referansları veya yürütülebilir yükler içeren gizli XCassets dizinleri için proje dosyalarını denetlemelidir.
XCSSET, MacOS’un senaryo ekosistemlerini kullanmaya devam ettikçe, olay statik analizin yanı sıra çalışma zamanı koruma mekanizmalarına yönelik kritik ihtiyacın altını çiziyor.
Microsoft, Xcode veya Safari örneklerini hedefleyen yetkisiz süreç enjeksiyon denemelerini engellemesi için Defender’da kurcalanma korumasının sağlanmasını önerir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri