RTV

Atakujący bardzo mocno próbują włamać się do komputerów Mac programistów iOS

Zbliżenie na klawiaturę i pasek narzędzi Maca.

Naukowcy powiedzieli, że znaleźli na wolności bibliotekę z trojanizowanym kodem, która próbuje zainstalować zaawansowane oprogramowanie monitorujące na komputerach Mac twórców oprogramowania iOS.

Przyszedł w postaci złośliwego projektu, który atakujący napisał dla Xcode, narzędzia programistycznego, które Apple udostępnia bezpłatnie programistom piszącym aplikacje na iOS lub inny system operacyjny Apple. Projekt był kopią TabBarInteraction, legalnego projektu open source, który ułatwia programistom animowanie pasków kart iOS w oparciu o interakcję z użytkownikiem. Projekt Xcode to repozytorium wszystkich plików, zasobów i informacji potrzebnych do zbudowania aplikacji.

Chodzenie po skorupkach jaj

Oprócz legalnego kodu znajdował się zaciemniony skrypt, znany jako „Run Script”. Skrypt, który był wykonywany za każdym razem, gdy uruchamiano kompilację programisty, kontaktował się z serwerem kontrolowanym przez atakującego, aby pobrać i zainstalować niestandardową wersję EggShell, tylne drzwi typu open source, które szpiegują użytkowników za pomocą mikrofonu, kamery i klawiatury.

Badacze z SentinelOne, firmą zajmującą się bezpieczeństwem, która odkryła trojanizowany projekt, nazwali go XcodeSpy. Mówią, że odkryli dwa warianty spersonalizowanego EggShell upuszczonego przez złośliwy projekt. Oba zostały przesłane do VirusTotal przy użyciu interfejsu internetowego z Japonii, pierwszy z nich 5 sierpnia, a drugi 13 października.

„Późniejszą próbkę znaleziono również na wolności pod koniec 2020 r. Na komputerze Mac ofiary w Stanach Zjednoczonych” – napisał w czwartek w blogu naukowiec SentinelOne Phil Stokes. „Ze względu na poufność nie możemy podać dalszych szczegółów na temat ITW [in the wild] incydent. Jednak ofiara zgłosiła, że ​​są wielokrotnie atakowani przez północnokoreańskich aktorów APT, a infekcja wyszła na jaw w ramach ich regularnych działań związanych z polowaniem na zagrożenia. ”

Jak dotąd badacze z firm są świadomi tylko jednego dzikiego przypadku z organizacji z siedzibą w USA. Wskazania z analizy SentinelOne sugerują, że kampania „trwała co najmniej od lipca do października 2020 r. I mogła być również skierowana do deweloperów w Azji”.

Atakowani deweloperzy

Czwartkowy post pojawił się dwa miesiące po tym, jak naukowcy zarówno z Microsoftu, jak i Google powiedzieli, że hakerzy wspierani przez rząd Korei Północnej aktywnie próbowali zainfekować komputery badaczy bezpieczeństwa. Aby zdobyć zaufanie badaczy, hakerzy spędzili tygodnie na budowaniu person na Twitterze i rozwijaniu relacji roboczych online.

W końcu fałszywe profile na Twitterze poprosiły badaczy o użycie przeglądarki Internet Explorer do otwarcia strony internetowej. Ci, którzy złapali przynętę, odkryliby, że ich w pełni załatany komputer z systemem Windows 10 zainstalował złośliwą usługę i backdoor w pamięci. Microsoft załatał lukę w zeszłym tygodniu.

Oprócz ataku na wodopój hakerzy wysłali również docelowym programistom projekt Visual Studio, który rzekomo zawierał kod źródłowy do exploita typu proof-of-concept. W projekcie ukryto niestandardowe złośliwe oprogramowanie, które łączyło się z serwerem kontrolnym atakujących.

Zamaskowana złośliwość

Doświadczeni programiści od dawna wiedzą, jak ważne jest sprawdzanie obecności złośliwych skryptów uruchamiania przed użyciem projektu Xcode innej firmy. Chociaż wykrycie skryptów nie jest trudne, XcodeSpy próbował utrudnić pracę, zakodowując skrypt.

SentinelOne

Po odkodowaniu było jasne, że skrypt skontaktował się z serwerem cralev[.]me i wysłał tajemniczą komendę mdbcmd przez odwrotną powłokę wbudowaną w serwer.

SentinelOne

Jedynym ostrzeżeniem, jakie programista otrzymałby po uruchomieniu projektu Xcode, byłoby coś, co wygląda następująco:

Patrick Wardle

SentinelOne zapewnia skrypt, który ułatwia programistom znajdowanie skryptów uruchamiania w ich projektach. Czwartkowy post zawiera również wskaźniki zagrożenia, aby pomóc programistom dowiedzieć się, czy zostali zaatakowani, czy zainfekowani.

Wektor złośliwości

To nie pierwszy raz, kiedy Xcode został użyty w ataku złośliwego oprogramowania. W sierpniu ubiegłego roku badacze odkryli dostępne w Internecie projekty Xcode, w których osadzono exploity dla dwóch luk typu zero-day w Safari. Gdy tylko jeden z projektów XCSSET został otwarty i zbudowany, analiza TrendMicro wykazała, że ​​złośliwy kod był uruchamiany na komputerach Mac programistów.

W 2015 roku badacze znaleźli 4000 aplikacji na iOS, które zostały zainfekowane przez XcodeGhost, nazwę nadaną sfałszowanej wersji Xcode, która krążyła głównie w Azji. Aplikacje, które zostały skompilowane za pomocą XcodeGhost, mogą być używane przez osoby atakujące do odczytywania i zapisywania w schowku urządzenia, otwierania określonych adresów URL i eksfiltracji danych.

W przeciwieństwie do XcodeGhost, który infekował aplikacje, XcodeSpy atakował programistów. Biorąc pod uwagę jakość zainstalowanego backdoora monitorującego XcodeSpy, atakujący nie byłby zbytnio naciągany, gdyby w końcu dostarczali złośliwe oprogramowanie również użytkownikom oprogramowania dewelopera.

„Istnieją inne scenariusze z ofiarami o tak dużej wartości” – napisał Stokes z SentinelOne. „Atakujący mogą po prostu szukać interesujących celów i zbierać dane do przyszłych kampanii lub mogą próbować zebrać dane uwierzytelniające AppleID do wykorzystania w innych kampaniach wykorzystujących złośliwe oprogramowanie z prawidłowymi podpisami kodu programisty Apple. Te sugestie nie wyczerpują możliwości ani nie wykluczają się wzajemnie ”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook