%20(1).webp "Yeni Çok Aşamalı Kötü Amaçlı Yazılımlarla macOS Kullanıcılarına Saldıran Tehdit Aktörleri")
Çok aşamalı kötü amaçlı yazılım, birkaç adımda gelişen karmaşık siber saldırı stratejileri anlamına gelir. Çok aşamalı kötü amaçlı yazılımlardaki son gelişmeler, siber tehditlerin artan karmaşıklığına dikkat çekiyor.
SentinelOne araştırmacıları yakın zamanda tehdit aktörlerinin macOS kullanıcılarına yeni çok aşamalı kötü amaçlı yazılımlarla saldırdığını keşfetti.
Çok Aşamalı Kötü Amaçlı Yazılıma Sahip macOS Kullanıcıları
2023-2024 yılları arasında Kuzey Kore bağlantılı tehdit aktörleri, kötü niyetli faaliyetlerini kripto para birimi işletmelere ‘RustBucket’ (macOS için Rust tabanlı bir arka kapı kötü amaçlı yazılımı) ve ‘KandyKorn’ (blockchain mühendislerine karşı kullanılması amaçlanan) gibi çeşitli kötü amaçlı yazılımlar dağıtarak.
En son kampanyaları, Ekim 2024’te keşfedilen ‘Gizli Risk’tir. Bu kampanyada saldırganlar, ‘yüksek risk’ altındaki Bitcoin ETF ve ‘DeFi’ ile ilgili her şeyle ilişkili PDF belgelerine köprüler içeren sahte e-postaların gönderildiği özel bir yöntem kullanıyor. ‘.
Saldırının kurbanları bağlantılara tıkladıktan sonra iki aşamalı bir enfeksiyon süreci başlatılıyor. İmzalanmış ve noter tasdikli Swift tabanlı bir damlalık uygulamasıyla (paket tanımlayıcı: Education.LessonOne) başlar. Uygulama, yem görevi gören bir PDF dosyası indirirken aynı zamanda matuaner’da barındırılan ‘büyüme’ olarak adlandırılan kötü amaçlı bir x86-64 ikili dosyasını da alır.[.]com.
MDR’nin çözmenize yardımcı olabileceği zorluklar -> Ücretsiz Kılavuz Alın
Bu 5,1 MB C++ arka kapısı, zshenv yapılandırma dosyası aracılığıyla arka kapıyı yükleyerek bir ana bilgisayara bulaşır ve “mozilla/4.0 (uyumlu, msie 8.0, windows nt 5.1, trident/4.0)” kullanıcı aracısını kullanarak HTTP POST istekleri göndererek bir C2 bağlantısı kurar.
Etkilenen sistem çeşitli ayrıntılar için taranır (sw_vers ProductVersion ve sysctl hw.model komutlarını çalıştır), benzersiz bir tanımlayıcı (UUID) yayınlar ve SaveAndExec işlevi aracılığıyla, geçersiz klasörlere (Kullanıcılar/Paylaşılan/) kaydettiği komutları harici olarak çağırabilir. XXXXXX, tüm yararlanılabilir 0x777 dosya erişimiyle.
SentinelOne raporuna göre bu, tehdit aktörlerinin, gelişmiş kalıcılık mekanizmaları yoluyla gizliliği korurken, virüslü sistemleri tamamen kontrol etmelerine olanak tanıyor.
Tehdit aktörü artık Zshenv yapılandırma dosyalarının Mac OS sistemlerine eklenmesiyle daha yüksek düzeyde saldırı metodolojisi kullanıyor. Bu, saldırganın kalıcılık mekanizması açısından bir tür evrimdir.
Bu yöntem iki ana yaklaşımı kullanır: –
- Kullanıcı düzeyindeki yapılandırma dosyası ~/.zshenv adresindeki Giriş dizininde bulunur.
- Genel konfigürasyon /etc/zshenv dizininde bulunur.
Kötü amaçlı yazılım durumunda, ~/.zshrc dosyalarının kullanımından, kötü amaçlı yazılımı Zshenv dosyalarının içine yerleştirmeye geçtiler.
Saldırıların nedenini açıklamaya yardımcı olan Zshenv’in temel kimliğinin vurgulanması gerekir; Zshenv, yalnızca oturumda tek kullanım için stratejik değildir, her kullanıcı karşılama oturumunda mevcuttur ve zsh için tasarlanan her kabukta yürütülür. Bu sayede virüsler ve solucanlar üzerinde kalıcılık mekanizmaları için kullanımı kolay hale gelir.
İşlem, kötü amaçlı yazılımın sym.install_char__char_ işlevi, /tmp/ dizininde .zsh_init_success adlı gizli bir dokunmatik dosyayı (özellikle sıfır baytlık bir dosya) kontrol ettiğinde başlar.
Bu dosyanın yokluğunda sonraki prosedür, kötü amaçlı yazılımın büyüme ikili dosyasını çalıştırmak ve başarılı kurulum için dokunmatik dosyayı oluşturmaktır.
Bu tekniği benzersiz derecede tehlikeli kılan şey, macOS 13 Ventura’nın güvenlik özelliklerini, özellikle de arka plandaki Giriş Öğeleri hakkında kullanıcıları uyarmak için tasarlanan kullanıcı bildirim sistemini atlayabilmesidir.
LaunchAgents ve LaunchDaemons gibi geleneksel kalıcılık mekanizmaları, etkinleştirildiğinde güvenlik uyarıları verebilirken, Vectored Zshenv kötüye kullanımı, macOS’un yerleşik güvenlik kontrollerinin radarı altında sessizce çalışarak, virüslü makinede güvenilir ve sessiz bir kalıcılık aracı sağlar.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!