Кибербезопасность — это общая ответственность, поскольку одно слабое звено в цепи может парализовать всю инфраструктуру. Многие разработчики программного обеспечения и специалисты по безопасности сотрудничают для обнаружения уязвимостей, конфиденциального сообщения о них разработчикам и их устранения до того, как ими воспользуются злоумышленники. Одним из таких объединений является Microsoft Threat Intelligence, которая сотрудничала с Apple для устранения серьезной бреши в безопасности, позволявшей красть учетные данные и другие конфиденциальные данные, такие как криптокошельки.
В деталях, предоставленных Neowin, Microsoft описала сложную кампанию, проводимую северокорейской государственной группировкой Sapphire Sleet для взлома пользователей macOS. Интересно, что эта атака в большей степени связана с социальной инженерией, чем с эксплуатацией программных уязвимостей.
По сути, злоумышленник создал профили рекрутеров, которые вступали в контакт с целями по поводу вакансий, а затем отправляли им приглашения на технические собеседования. Когда кандидаты присоединяются к встрече, их просят установить файл Zoom SDK Update.scpt, предоставленный во время встречи. Этот файл AppleScript по умолчанию открывается в macOS Script Editor и, хотя на первый взгляд кажется совершенно безвредным и официальным, при прокрутке тысяч строк можно обнаружить встроенный вредоносный код. Неподозреваемого пользователя просят выполнить скрипт, который запускает атаку вредоносного ПО.
После выполнения скрипт загружает дополнительные полезные нагрузки вредоносного ПО с использованием доверенных механизмов, одновременно отслеживая ход кампании с помощью уникальных строк user-agent. Затем вредоносное ПО начинает свою разведывательную деятельность, в ходе которой оно собирает сведения о вашей учетной записи и ПК. Затем оно запускает вредоносное приложение System Update, которое просит пользователя ввести пароль для настройки своих параметров. Этот диалоговое окно использует нативные элементы macOS, поэтому, по словам Microsoft, оно «визуально неотличимо» от законного запроса. Как только пароль проверен по базе данных вашей системы, он немедленно эксфильтрируется в Sapphire Sleet с использованием Telegram Bot API.
Затем эта цепочка инструментов атаки запускает приложение Software Update, которое создает иллюзию успешного завершения процесса обновления Zoom. Это уменьшает любые сомнения, которые могут возникнуть у вас относительно легитимности программного обеспечения. Наконец, оно устанавливает несколько бэкдоров для обеспечения постоянного присутствия на машине цели.
Вот подробности о дополнительной информации, которую Sapphire Sleet эксфильтрирует из вашей системы:
- Сбор данных о хосте и системе
- Проверка установленных приложений и среды выполнения
- Данные сеансов обмена сообщениями (Telegram)
- Данные браузера и хранилище расширений
- Связка ключей macOS (keychain)
- Настольные криптокошельки
- SSH-ключи и история командной оболочки
- Заметки Apple (Apple Notes)
- Системные журналы и неудачные попытки доступа
После обнаружения Microsoft проинформировала Apple о кампании вредоносного ПО, после чего последняя укрепила свою инфраструктуру безопасности на macOS и Safari, в частности. Тем временем Microsoft также обновила Defender, чтобы он мог защищать пользователей и от Sapphire Sleet. Компания также предоставила некоторые рекомендации и XDR-запросы для поиска, которые персонал службы безопасности может использовать для обнаружения и смягчения последствий атак.
Точный масштаб атаки неизвестен, но, по-видимому, она была в значительной степени нацелена на потенциально ценные объекты. Это связано с характером самой кампании. Она распространяется через поддельные профили рекрутеров и собирает данные из криптовалютных кошельков. Кроме того, необходимо, чтобы у пользователя было оборудование macOS, а не что-либо другое, когда он присоединяется к собеседованию. Более подробную информацию об этой шпионской деятельности можно найти в блоге Microsoft Threat Intelligence здесь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
