攻击者在 2023 年盯上了 macOS 平台,传统上公众认为 macOS 比其他平台更加安全,但其实苹果的操作系统也面临着各种网络攻击。分析人员整理了 2023 年最重要的 macOS 恶意软件,详细介绍了其特征和影响。
macOS 平台的恶意软件最多的类别是后门(29.6%),其次是信息窃密(25.9%),紧随其后的是远控木马(14.8%)。广告类恶意软件也有所增长,与漏洞利用类恶意软件一同构成了 macOS 平台最常见的恶意软件。
一月
2023 年一开始,Dridex RAT 就浮出了水面。Dridex RAT 是 Dridex 银行木马的变种,曾经是 Windows 平台独占的恶意软件。攻击者目前也将其迁移到 macOS 平台,覆盖更多潜在受害者。
该恶意软件是信息窃密类恶意软件,旨在窃取各种用户凭据。Dridex RAT 使用了一项新技术:将恶意宏代码与 Mach-O 或者可自动执行的 Mac 文件结合起来。使用这种方式,攻击者无需再将恶意代码藏在恶意 Word 文件中,通过发票等主题对用户进行欺骗。Dridex 被归因为总部位于俄罗斯的网络犯罪团伙 Evil Corp(Indrik Spider)。
二月
二月是挖矿猖獗的月份。攻击者将恶意软件伪装成合法软件,例如 Apple Logic Pro X 和 Final Cut Pro 等,诱骗受害者下载并安全该恶意软件应用程序。
攻击者在失陷主机上部署开源矿机 XMRig 挖矿,对门罗币或者其他加密货币进行挖掘获利。众所周知,此类恶意软件通常都会感染数十万台设备。
三月
攻击者加快了步伐,SmoothOperator 3CX 和臭名昭著的 MacStealer 浮出水面。二者都是窃密类恶意软件,这类恶意软件也是 macOS 平台增长最快的恶意软件类型之一。
SmoothOperator 3CX 是针对供应链进行攻击的高级窃密类恶意软件,被认为与朝鲜黑客组织有关。SmoothOperator 恶意软件入侵了流行的 VoIP 软件 3CX,这一软件被全球数十万客户使用,甚至包括许多知名的大公司。安全专家认为,Smooth Operator 攻击有可能是自 2020 年 SolarWinds 攻击以来最严重的供应链攻击。
MacStealer 的攻击者也使用了类似的方法,利用 Telegram 从浏览器和钥匙串的数据库中提取敏感数据。影响 Intel、M1 和 M2 CPU 的各类苹果设备,macOS Catalina 以及更新版本的操作系统都受到波及。恶意软件通过 .dmg 文件中的虚假密码提示进行传播,再利用 Python 将收集到的数据回传到 C&C 服务器。
四月
四月是网络安全最繁忙的一个月,RustBucket、AMOS(Atomic Stealer)、POOLRAT 和 Lockbit 对全球的 macOS 用户发起了大规模攻击。
RustBucket 以建立持久化、检测逃避给安全分析人员留下了很深的印象。该后门被认为与朝鲜黑客 BlueNoroff 有关,该小组隶属于 Lazarus Group,后者普遍被业界认为是朝鲜 RGB 部门负责管理的晶莹黑客小组。
RustBucket 是一个基于 AppleScript 的后门,通过与 C&C 服务器进行通信下载和执行各种 Payload。该恶意软件自带持久化技术,并通过各种技术降低被发现的概率。最新变种 REF9135,被发现针对美国加密货币公司进行攻击。
AMOS(Atomic Stealer)可以说是全年最活跃的恶意软件,攻击者在 Telegram 中对其进行大肆宣传。AMOS 专门针对 macOS 系统开发,旨在窃取各种敏感信息(钥匙串密码、加密钱包密码、浏览器凭据和各种敏感文件)。该恶意软件通过 .dmg 文件进行传播,显示虚假的密码提示以获取系统密码。
Lockbit 攻击者在 2023 年也盯上了 macOS 系统,至此该勒索软件团伙已经横跨 Windows、Linux、VMware ESXi 与 macOS 各个平台进行加密,甚至包括使用 Apple M1 芯片的设备。
五月
五月的后门 Snake 和 Geacon 异常活跃,二者都是针对 macOS 进行攻击的。Snake 是 Turla 组织开发的恶意软件,该团伙经验丰富,自从 2004 年开始一直保持存在。Turla 专门开发了恶意后门 Snake 来入侵 macOS 设备,足见该攻击者对各类威胁的熟稔。
相比 Snake,来自 Geacon 的威胁就没有那么大。Geacon 是业界知名的 Cobalt Strike 的 Go 实现版本,从 5 月开始支持 macOS 平台。VirusTotal 上已经检出了 Geacon 的变种,有一些是真正恶意攻击所使用的。
六月
REF9134(又名 JokerSpy)在六月异军突起获得大量关注,这是一个复杂的网络入侵工具。该恶意软件针对日本加密货币交易所进行攻击,攻击者利用 sh.py 后门部署了 macOS Swiftbelt 工具,展现了高超的规避技术与研发水平。
七月
七月是攻击者异常活跃的月份。攻击组织 DangerousPassword 以加密货币交易所开发人员为攻击目标,横跨 Windows、macOS 与 Linux 系统。在 macOS 与 Linux 系统中,攻击者将恶意代码注入 Python 脚本窃取用户数据。
另一个后门 GorjolEcho 则是伊朗黑客组织 APT42(又称 Charming Kitten)的手笔,该组织针对中东事务与核安全专家发起过多次攻击。攻击者部署了特制的 macOS 变种 NokNok,该恶意软件收集用户数据并加密回传,攻击主要以网络间谍为主。
现在窃密类恶意软件越来多,ShadowVault 也是一种典型的窃密类恶意软件。ShadowVault 旨在从 macOS 设备上窃取敏感数据,该恶意软件在后台静默运行,收集有价值的信息(如登录凭据与财务信息等)。研究人员发现,ShadowVault 也通过恶意软件即服务的方式在线销售,这也是全球网络犯罪的大趋势。
同样的,窃密类恶意软件 Realst 也是通过虚假区块链游戏网站进行传播的。Realst 会通过各种方式,如 ApplceScript 欺骗与虚假提示,窃取各种敏感信息(如加密钱包和密码)。该恶意软件具有不同的变种,分别具有不同的特征。
这还不是全部,朝鲜黑客 Lazarus 也使用后门 FULLHOUSE 在七月发起攻击。该恶意软件是使用 C/C++ 编写的,支持建立隧道与远程命令执行等后门常见功能。
八月
八月的恶意软件继续多元化发展,HVNC 远控木马的兴起帮助了攻击者未授权访问 macOS 设备。HVNC 远控木马的售价为 6 万美元,为攻击者提供了强大的技术支持,包括持久化、反向 Shell、远程文件管理器与 macOS 的兼容性。
相比之下,窃密恶意软件 XLoader 在 2023 年 8 月通过 OneNote 进行传播。此前 XLoader 受到 Java 依赖的限制,最新更换为 C 与 Objective-C 进行开发。XLoader 使用已被撤销的 Apple 开发者签名进行传播,窃取 Chrome 与 Firefox 浏览器的用户数据。
总体来说,广告类恶意软件卷土重来。2017 年发现的 AdLoad 等恶意软件持续感染 macOS 系统。广告类恶意软件可以用于下载其他恶意软件,通过恶意广告、捆绑软件、PiTM 攻击、后门和代理应用程序影响 macOS 的用户。
勒索软件在全年也留下不可磨灭的痕迹,Akira 勒索软件在八月通过 Cisco VPN 入侵进行勒索成为了头条新闻。Akira 勒索软件的主要目标是破坏系统和网络、窃取数据并加密文件,勒索受害者付款。
九月
九月出现了两个重大威胁,针对业务用户与敏感数据进行窃取。MetaStealer 是一个全新的窃密程序,通过伪装成虚假客户端和虚假镜像包进行传播。一旦执行成功,恶意软件就会提取敏感信息并回传数据。
第二个威胁是 Knight 勒索软件,这是 Cyclops 勒索软件的变种。该勒索软件以勒索软件即服务(RaaS)的形式运行,要求受害者支付赎金才能进行数据解密。Knight 一共有两个版本:一个是普通版本、另一个是精简版。无论哪个版本,都主要通过网络钓鱼来进行攻击,社会工程学攻击在勒索软件攻击中仍然是持久的威胁。
十月
十月份 Monti 出现,这是一种地下论坛中新出现的勒索软件联盟计划。Monti 声称使用了 Conti 的 EXSi 勒索软件修改版本,这又是一个潜在的威胁。并且,该团伙与早期勒索软件团伙 REvil 的关系也让人担忧。
研究人员发现了名为 DirtyNIB 的漏洞,该漏洞可以通过特制的 NIB 文件针对 macOS Monterey 与 Sonoma 的漏洞进行攻击。该漏洞可以代码执行,凸显了漏洞缓解和更新的必要性。
卡巴斯基重磅宣布发现了“三角测量”的攻击行动,其中名为 TriangleDB 的复杂 iOS 间谍软件显示了看似合法应用程序也是有潜在风险的。攻击者利用漏洞获取 root 权限,进行针对性攻击。恶意软件使用 Objective-C 开发并且在内存中运行,这使得检测极具挑战。使用加密的 Protobuf 数据与 C&C 服务器通信,攻击者可以远程控制失陷主机。
十一月
安全人员发现朝鲜黑客又发起了新的攻击行动,通过 macOS 恶意软件感染区块链开发工程师。Elastic 安全实验室率先披露了这一威胁,该恶意软件名为 Kandycorn(也称 REF700)。攻击在十一月展开,通过多阶段部署到受害者处。攻击最初使用了 Python 脚本,后续部署了 SugarLoader 和 HLoader 的变种,最终使用了 Kandycorn 远控木马。
该恶意软件支持数据收集、任意命令执行以及其他恶意 Payload 下载等功能,多阶段攻击可能会造成非常重大的损害。
十二月
这一年以 WSProxy 结束,这是一个通过破解软件包进行传播的后门。攻击者将恶意软件伪装成 GoogleHelperUpdate 代理,以此入侵受害者的主机设备。尽管在发现时未观察到恶意 Payload,但攻击者有后续投递攻击的能力,这也提醒使用破解软件的用户是存在风险的。
结论
2023 年 macOS 平台上的恶意软件持续增长,已经成为不可忽视的网络犯罪趋势。暗网作为网络犯罪者的避风港,也在助长各类勒索软件即服务、恶意软件即服务等新业态。这些商业模式大幅度降低了攻击者的准入门槛,使任何人都可以使用恶意软件。macOS 平台上的窃密类恶意软件与后门程序也是大赢家,各类威胁仍然在多样化和动态变化。
