Кампания по социальной инженерии, организованная северокорейскими злоумышленниками и нацеленная на пользователей macOS, вводила жертв в заблуждение, заставляя их вручную выполнять вредоносные файлы под видом обновления программного обеспечения, что приводило к краже учетных данных, криптоактивов и личных данных, сообщает подразделение Microsoft Threat Intelligence, MSTIC. В новом отчете, опубликованном на этой неделе, MSTIC раскрыло эту кампанию, проводимую угрожающим актором, отслеживаемым как Sapphire Sleet, которая подчеркивает, что убедительные пользовательские запросы и доверенные системные инструменты по-прежнему являются весьма ценным инструментом для злоумышленников всех мастей. Эта конкретная кампания, по словам MSTIC, продемонстрировала некоторые новые комбинации техник, сфокусированных на macOS, которые, хотя сами по себе и не являются новыми, стали своего рода сюрпризом для такого угрожающего актора, как Sapphire Sleet. MSTIC объяснило, что группа теперь смещает выполнение атак от эксплуатации уязвимостей программного обеспечения в контекст, «инициируемый пользователем». Что крайне важно для Sapphire Sleet, это позволяет их цепочке атак продвигаться вперед, минуя встроенную защиту macOS, такую как Transparency, Consent and Control (TCC), Gatekeeper, принудительное применение карантина и проверки нотариального заверения. «Sapphire Sleet достигает высоконадежной цепочки заражения, которая снижает операционное трение и повышает вероятность успешного компрометации — представляя повышенный риск для организаций и частных лиц, занимающихся криптовалютой, цифровыми активами, финансами и аналогичными целями с высокой ценностью, на которые нацелен Sapphire Sleet», — заявила команда MSTIC. «После обнаружения угрозы Microsoft поделилась деталями этой активности с Apple в рамках нашего процесса ответственного раскрытия информации».
Опасность для финансовых услуг
Поддерживаемый изолированным, замкнутым и обнищавшим режимом в Пхеньяне, Sapphire Sleet действует примерно с марта 2020 года и, как подозревают, связан с куда более печально известной операцией Lazarus. По данным MSTIC, он специализируется на атаках на сектор финансовых услуг, включая венчурные фонды и организации, занимающиеся блокчейном и криптовалютой. Его главная мотивация — грабить криптокошельки своих жертв для получения дохода для своих кураторов, а также похищать интеллектуальную собственность (IP) и технологические секреты, связанные с торговлей блокчейном и криптовалютой. Sapphire Sleet — это северокорейский государственный актор, активный как минимум с марта 2020 года, который в первую очередь нацелен на финансовый сектор, включая криптовалюту, венчурный капитал и организации, связанные с блокчейном. Основная мотивация этого актора — кража криптовалютных кошельков для получения дохода и нацеливание на технологии или интеллектуальную собственность, связанную с торговлей криптовалютой и блокчейн-платформами. В этой кампании его план действий включал запуск поддельных профилей для набора персонала на сайтах профессиональных сетей и в социальных сетях, через которые отобранные цели вовлекались в беседы о возможностях трудоустройства. «Успешным» кандидатам затем предлагалось пройти техническое собеседование, во время которого им предписывалось установить вредоносное ПО Sapphire Sleet, замаскированное под обновление комплекта средств разработки программного обеспечения (SDK) для инструмента видеоконференцсвязи Zoom. Файл Zoom SDK Update.scpt представлял собой скомпилированный AppleScript, который по умолчанию открывался в macOS Script Editor — доверенном приложении Apple, способном выполнять произвольные команды оболочки. Жертв вводили в ложное чувство безопасности большими блоками ложных инструкций по обновлению, имитирующих обычное обновление программного обеспечения. Под этим текстом были вставлены тысячи пустых строк, чтобы скрыть вредоносный скрипт за пределами немедленно прокручиваемой области — грубая, но эффективная техника. Затем скрипт запускал команду для вызова доверенного процесса с подписью Apple, чтобы усилить видимость подлинного обновления. После этого он выполнял свою вредоносную полезную нагрузку, извлекая контент, контролируемый угрожающим актором, через curl и передавая его для выполнения. Этот контент также имел форму AppleScript, чтобы он мог снова запуститься в Script Editor для инициирования доставки окончательной полезной нагрузки — оркестратора атаки — для разведки системы и других операций. Известно, что данные, эксфильтрированные Sapphire Sleet в ходе этих атак, включали данные Apple Notes, данные криптокошельков, данные браузера и информацию из Keychain, а также учетные данные и данные сеанса Telegram, среди прочего.
Следующие шаги
За кулисами Apple уже внедрила защиты на уровне платформы для обнаружения и блокировки инфраструктуры и вредоносного ПО Sapphire Sleet, а также развернула защиты браузера в Safari. Компания также выпустила новые сигнатуры для обнаружения и блокировки вредоносного ПО, связанного с кампанией, которые уже должны были быть получены устройствами под управлением macOS. MSTIC посоветовало организациям, которые могут стать жертвами этой или подобных кампаний, провести обучение пользователей по угрозам, исходящим из социальных сетей и внешних платформ, особенно в отношении обращений, которые, по-видимому, требуют загрузки программного обеспечения или инструментов для виртуальных встреч, или выполнения команд терминала. Группы безопасности также могут рассмотреть возможность блокировки или ограничения выполнения скомпилированных файлов AppleScript и неподписанных бинарных файлов Mach-O, загруженных из интернета. Любые такие файлы, загруженные из внешних источников, разумеется, должны быть тщательно проверены и подтверждены. Также может быть разумно ограничить или, по крайней мере, аудировать использование curl, особенно при передаче его интерпретаторам. Защитникам следует также отслеживать несанкционированные изменения в базе данных TCC macOS, что является особенностью этой кампании, и проводить аудит установок LaunchDaemon и LaunchAgent. MSTIC также посоветовало организациям и пользователям проявлять осторожность при копировании и вставке конфиденциальных данных, связанных с криптовалютой, таких как адреса кошельков или учетные данные, и проверять, соответствует ли вставленное содержимое предполагаемому источнику, а также защищать криптокошельки и ротировать любые учетные данные, хранящиеся в браузере.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
