- Naujas XCSSET variantas su patobulinta obfuskacija ir daugybiniu išsaugojimu („zshrc“, „Dock“ ir „LaunchDaemon“).
- Išplečia duomenų vagysčių funkciją „Firefox“ ir prideda „Clipper“, kad nukreiptų kriptovaliutų operacijas iš iškarpinė.
- Bendrinamų „Xcode“ projektų užkrėtimas: tik paleisti skirti „AppleScript“ scenarijai, pervardyti moduliai ir C2 eksfiltracija.
- Rekomendacijos: Atnaujinkite „macOS“, prieš kompiliavimą patikrinkite projektus ir stebėkite „osascript“ / „dockutil“.
Šeimos šeima kenkėjiška programa „XCSSET for macOS“ grįžo su patobulinta versija ir tai nemenkas pasiekimas: „Microsoft Threat Intelligence“ nustatė reikšmingų duomenų klaidinimo, duomenų tęstinumo ir vagystės metodų pokyčių. kurie pakelia kartelę šiai senai pažintiai. Jei dirbate su „Xcode“ arba dalijatės projektais su komandomis, norėsite neatsilikti nuo to, kas vyksta.
Nuo pat atradimo 2020 m., XCSSET prisitaikė prie „Apple“ ekosistemos pokyčių. Dabar stebimas pirmasis viešai dokumentuotas naujas variantas nuo 2022 m., aptikta ribotų atakų metu, bet su išplėstomis galimybėmis. Tai modulinė kenkėjiška programa, kuri slapta įsiskverbia į „Xcode“ projektus, kad įvykdytų savo naudingąją apkrovą, kai jie kompiliuojami, ir šioje versijoje ji naudoja gudresnę taktiką, kad užmaskuotų save ir išliktų.
Kas yra XCSSET ir kodėl jis taip gerai plinta?
Iš esmės XCSSET yra kenkėjiškų modulių rinkinys, skirtas užkrėsti „Xcode“ projektus ir aktyvuoti jų funkcijas kūrimo metuLabiausiai tikėtinas sklidimo vektorius yra projekto failų dalijimasis tarp bendradarbiaujančių kūrėjų. Apps „macOS“, kuri kiekviename kompiliavime padaugina vykdymo galimybes.
Ši kenkėjiška programa istoriškai gebėjo išnaudoti nulinės dienos pažeidžiamumus, į projektus įterpti kodą ir netgi įdiegti galines duris į „Apple“ ekosistemos komponentus, tokius kaip „Safari“Viso savo evoliucijos metu ji taip pat buvo suderinama su naujesnėmis „macOS“ ir „Apple Silicon“ (M1) architektūrų versijomis, o tai demonstruoja puikų prisitaikymą.
Ant žemės XCSSET veikia kaip informacijos vagis ir kriptokursai: gali rinkti duomenis iš populiarių programų („Evernote“, „Notes“, „Skype“, „Telegram“, QQ, WeChat ir daugiau), išfiltruoja sistemos ir programų failus ir yra specialiai nukreipiami į skaitmenines pinigines. Be to, kai kurie variantai parodė Neleistinos ekrano kopijos, failų šifravimas ir išpirkos reikalaujančių raštelių diegimas.
Kas naujo naujausiame variante
„Microsoft“ išsamiai paaiškino, kad naujausiame variante yra Nauji užmaskavimo, persistavimo ir infekcijos strategijų metodaiMes nebekalbame tik apie pavadinimų keitimą ar kodo glaudinimą: dabar yra daugiau atsitiktinumo generuojant naudingąją apkrovą, skirtą užkrėsti „Xcode“ projektus.
Ryškus pokytis yra kombinuotas kodavimo metodų naudojimas. Nors ankstesnėse iteracijose buvo remiamasi tik xxd (hexdump), Naujoji versija prideda „Base64“ ir taiko atsitiktinį iteracijų skaičių, todėl krovinį sunkiau identifikuoti ir išardyti.
Vidiniai modulių pavadinimai taip pat yra labiau paslėpti nei bet kada anksčiau: Jie yra užmaskuoti kodo lygmeniu, kad paslėptų savo paskirtįTai apsunkina statinę analizę ir funkcijų bei stebimų efektų sistemoje koreliaciją.
Patvarumas: „zshrc“ ir „dock“ metodai
Vienas iš šio XCSSET sugrįžimo bruožų yra du labai skirtingi keliai išlikti gyvam po užsikrėtimo. „Zshrc“ metodas naudoja apvalkalo konfigūraciją, kad automatiškai paleistų kiekvienoje sesijoje., o „doko“ metodas manipuliuoja sistemos sparčiaisiais klavišais, kad kenkėjiška apkrova būtų vykdoma skaidriai vartotojui.
Taikant „zshrc“ metodą, kenkėjiška programa sukuria failą, vadinamą ~/.zshrc_aliases su naudingąja apkrova ir tada prideda komandą į ~/.zshrc failą, kuri užtikrina, kad failas būtų įkeltas kiekvieną kartą atidarius naują sesiją. Tai užtikrina išlikimą visuose terminaluose nesukeliant jokių akivaizdžių įtarimų.
„Prijungimo“ planas apima pasirašyto įrankio atsisiuntimą iš komandų ir valdymo serverio, dockutil, skirtas valdyti doko elementusTada sukuriama netikra „Launchpad“ programėlė ir kelią į tikrąją „Launchpad“ programėlę doke pakeičia ta netikra programėle. Rezultatas: kiekvieną kartą, kai vartotojas paleidžia „Launchpad“ iš doko, atsidaro tikroji programėlė ir lygiagrečiai, kenkėjiška apkrova yra aktyvuota.
Kaip pastiprinimas, variantas pristato Nauji kriterijai, pagal kuriuos nustatoma, kur „Xcode“ projekte įterpti naudingąją apkrovąTai optimizuoja poveikį ir sumažina tikimybę, kad kūrėjas, peržiūrėdamas projekto medį, pastebės ką nors neįprasto.
„AppleScript“, slaptas vykdymas ir užkrėtimo grandinė
„Microsoft“ tyrimas aprašo, kad XCSSET naudoja „AppleScripts“ kompiliuojami tik vykdymo režimu veikti tyliai ir neleisti tiesioginei analizei atskleisti jo turinio. Ši technika atitinka jos nematomumo ir scenarijų tikrinimo įrankių apėjimo tikslą.
Ketvirtoje infekcijos grandinės fazėje pastebima, kad „AppleScript“ programa vykdo apvalkalo komandą, kad atsisiųstų paskutinį etapąŠis galutinis „AppleScript“ surenka informaciją iš pažeistos sistemos ir paleidžia submodulius, iškviesdamas „boot()“ funkciją, kuri koordinuoja modulinį galimybių diegimą.
Taip pat buvo aptikti loginiai pokyčiai: Papildomi „Firefox“ naršyklės patikrinimai ir kitokį „Telegram“ pranešimų programėlės buvimo patvirtinimo metodą. Tai nėra smulkmenos; jos rodo aiškų ketinimą padaryti duomenų rinkimą patikimesnį ir išplėsti jo apimtį.
Pervardyti moduliai ir naujos dalys
Su kiekviena peržiūra XCSSET šeima šiek tiek keitė savo modulių pavadinimus – tai klasikinis katės ir pelės žaidimas. apsunkina versijų ir parašų sekimąNepaisant to, jo funkcionalumas paprastai išlieka pastovus.
Tarp paryškintų šio varianto modulių yra tokių identifikatorių kaip vexyeqj (anksčiau „seizecj“), kuris Atsisiųskite kitą modulį, vadinamą bnk ir paleidžia jį naudodamas „osascript“. Tai scenarijus prideda duomenų patvirtinimo, šifravimo, iššifravimo, papildomo turinio gavimo iš C2 ir įvykių registravimo galimybes, taip pat apima „clipper“ komponentą.
Taip pat minima neq_cdyd_ilvcmwx, panašiai kaip txzx_vostfdi, kuris yra atsakingas už išfiltruoti failus į komandų ir valdymo serverįmodulis; xmyyeqjx kuris ruošia „LaunchDaemon“ pagrindu veikiantis išlikimas; ei (anksčiau jez), kuris konfigūruoja a atkaklumas per Git; ir iewmilh_cdyd, atsakingas už duomenų vagystę iš „Firefox“ naudojant modifikuotą viešojo „HackBrowserData“ įrankio versiją.
- vexyeqjinformacijos modulis; atsisiųskite ir naudokite BNK, integruoja kirpimo įrankį ir šifravimą.
- neq_cdyd_ilvcmwx: failų išgavimas į C2.
- xmyyeqjx: išlikimas naudojant „LaunchDaemon“.
- ei: atkaklumas per Git.
- iewmilh_cdyd„Firefox“ duomenų vagystė naudojant modifikuotą „HackBrowserData“.
Dėmesys „Firefox“ yra ypač aktualus, nes plečia aprėptį už „Chromium“ ir „Safari“ ribųTai reiškia, kad potencialių aukų ratas didėja, o keliems naršyklių varikliams tobulinami prisijungimo duomenų ir slapukų išgavimo metodai.
Kriptovaliutos vagystė naudojant iškarpinę
Vienas iš didžiausią susirūpinimą keliančių šios evoliucijos galimybių yra „kirpimo“ modulis. Stebi iškarpinę, ieškodama reguliariųjų išraiškų, kurios atitinka kriptovaliutų adresus (įvairūs piniginės formatai). Kai tik aptinka atitikmenį, jis nedelsdamas pakeičia adresą užpuoliko kontroliuojamu adresu.
Šiai atakai nereikia padidintų privilegijų, kad būtų galima sukelti chaosą: Auka nukopijuoja savo adresą iš piniginės, įklijuoja jį, kad išsiųstų lėšas, ir to nežinodama perduoda užpuolikui.Kaip pažymėjo „Microsoft“ komanda, tai mažina pasitikėjimą tokiu elementariu dalyku kaip kopijavimas ir įklijavimas.
„Clipper“ ir naršyklės duomenų vagystės derinys paverčia XCSSET a Praktinė grėsmė kibernetiniams nusikaltėliams, daugiausia dėmesio skiriant kriptovaliutomsJie gali gauti sesijos slapukus, išsaugotus slaptažodžius ir netgi nukreipti operacijas neliesdami aukos matomo balanso, kol nebūna per vėlu.
Kitos atkaklumo ir maskavimosi taktikos
Be „zshrc“ ir „dock“, „Microsoft“ aprašo, kad šis variantas prideda „LaunchDaemon“ įrašai, kurie vykdo naudingąją apkrovą ~/.root aplankeŠis mechanizmas užtikrina ankstyvą ir stabilų paleidimą ir pasislėpia tarp fone kraunamų sistemos paslaugų raizginio.
Taip pat buvo pastebėtas a sukūrimas Sistemos nustatymų.app failas suklastotas /tmp faile, kuri leidžia kenkėjiškai programai užmaskuoti savo veiklą po teisėtos sistemos programos priedanga. Šis apsimetinėjimo tipas padeda išvengti įtarimų tikrinant procesus ar kelius atsitiktinio vykdymo metu.
Tuo pačiu metu XCSSET darbas dėl informacijos slėpimo vėl atsidūrė dėmesio centre: Sudėtingesnis šifravimas, atsitiktiniai modulių pavadinimai ir tik vykdomi „AppleScripts“Viskas rodo, kad kampanijos gyvavimo trukmė turėtų būti pratęsta, kol ją neutralizuos parašai ir aptikimo taisyklės.
Istorinės galimybės: už naršyklės ribų
Žvelgiant atgal, XCSSET neapsiribojo vien naršyklių ištuštinimu. Jo gebėjimas išgauti duomenis iš tokių programų kaip "Google Chrome", „Opera“, „Telegram“, „Evernote“, „Skype“, „WeChat“ ir pačios „Apple“ programos, pvz. Kontaktai ir užrašaiTai yra, įvairūs šaltiniai, įskaitant pranešimus, produktyvumą ir asmeninius duomenis.
2021 m. tokiose ataskaitose kaip „Jamf“ aprašyta, kaip XCSSET išnaudojo CVE-2021-30713, TCC sistemos apėjimas, gerti darbalaukio ekrano kopijos neprašant leidimo. Šis įgūdis atitinka aiškų tikslą: šnipinėti ir rinkti jautrią medžiagą su minimaliu trinties poveikiu naudotojui.
Laikui bėgant, kenkėjiška programa buvo pritaikyta „macOS Monterey“ suderinamumas ir su M1 lustais, tai pabrėžia jos užpuolikų vykdomas tęstinumas ir palaikymasIki šiol tiksli operacijos kilmė lieka neaiški.
Kaip tai prasmuksta į „Xcode“ projektus
XCSSET pasiskirstymas nėra detalizuotas milimetro tikslumu, bet viskas rodo, kad Pasinaudokite „Xcode“ projektų bendrinimu tarp kūrėjųJei saugykla ar paketas jau yra pažeisti, bet koks vėlesnis kūrimas aktyvuoja kenkėjišką kodą.
Šis modelis paverčia kūrimo komandas privilegijuotų sklidimo vektorių, ypač aplinkose, kuriose taikoma nepakankamai griežta priklausomybių tikrinimo praktika, kūrimo scenarijai arba bendrinami šablonai. Tai primena, kad programinės įrangos tiekimo grandinė tapo pasikartojančiu taikiniu.
Atsižvelgiant į šį scenarijų, logiška, kad naujasis variantas sustiprina logika, pagal kurią sprendžiama, kur projekte įterpti naudingąją apkrovąKuo „natūralesnė“ atrodo jūsų vieta, tuo mažesnė tikimybė, kad kūrėjas ją pastebės greito nuskaitymo metu.
Atakos ergonomika: klaidos, etapai ir požymiai
„Microsoft“ jau anksčiau šiais metais paskelbė apie XCSSET patobulinimus. klaidų valdymas ir nuoseklumasSvarbu tai, kad dabar jis telpa į nuoseklią užkrėtimo grandinę: „AppleScript“, kuris paleidžia apvalkalo komandą, kuri atsisiunčia kitą galutinį „AppleScript“, kuris savo ruožtu renka sistemos informaciją ir paleidžia submodulius.
Jei ieškote ženklų, jų buvimas ~/.zshrc_aliases, manipuliacijos ~/.zshrc faile, įtartini įrašai „LaunchDaemons“ faile arba keistas „System Settings.app“ failas /tmp faile Į šiuos požymius reikia atkreipti dėmesį. Bet kokia anomali veikla „Dock“ srityje (pvz., pakeisti „Launchpad“ keliai) taip pat turėtų sukelti pavojaus signalus.
Valdomose aplinkose SOC turėtų sukalibruoti taisykles, kurios siekia Neįprastas „osascript“, pakartotiniai „dockutil“ iškvietimai ir „Base64“ užkoduoti arba užšifruoti artefaktai susieti su „Xcode“ kūrimo procesais ir naudoti įrankius peržiūrėti veikiančius procesus macOS sistemojeKompiliavimo kontekstas yra labai svarbus siekiant sumažinti klaidingai teigiamų rezultatų skaičių.
Į ką orientuojasi XCSSET?
Natūralu, kad daugiausia dėmesio skiriama tiems, kurie kuria arba kompiliuoja naudodami „Xcode“, tačiau poveikis gali išplisti ir vartotojams, kurie įdiegti integruotas programas iš užterštų projektų. Finansinė dalis pateikiama iškarpinės užgrobimas, ypač aktualu tiems, kurie reguliariai tvarko kriptovaliutas.
Duomenų srityje išfiltracija iš „Firefox“ ir kitų programų kelia pavojų prisijungimo duomenims, sesijos slapukams ir asmeninėms pastaboms. Pridėkite prie to senesnes galimybes, ekrano kopijos, failų šifravimas ir išpirkos rašteliai, vaizdas daugiau nei pilnas.
Iki šiol aptiktos atakos, regis, ribotos apimties, tačiau, kaip dažnai būna, tikrasis kampanijos mastas gali išryškėti vėliau. Moduliškumas palengvina greitas iteracijas, pavadinimų keitimą ir tikslus reguliavimas, siekiant išvengti aptikimo.
Praktiniai patarimai, kaip sumažinti riziką
Pirma, atnaujinkite discipliną: Nuolat atnaujinkite „macOS“ ir programas ir apsvarstyti kenkėjiškų programų naikinimo sprendimai„XCSSET“ jau išnaudojo pažeidžiamumus, įskaitant nulinės dienos pažeidžiamumus, todėl atnaujinimas į naujausią versiją žymiai sumažina atakų paviršių.
Antra, tikrinti Xcode projektus kuriuos atsisiunčiate arba klonuojate iš saugyklų, ir būkite itin atsargūs su tuo, ką kompiliuojate. Peržiūrėkite kūrimo scenarijus, Paleisti scenarijaus etapus, priklausomybes ir visus failus, kurie vykdomi kūrimo procese.
Trečia, būkite atsargūs su iškarpine. Venkite kopijuoti / įklijuoti nepatikrintus piniginės adresusPrieš patvirtindami operacijas, dar kartą patikrinkite pirmą ir paskutinį simbolius. Tai nedidelis gestas, kuris gali padėti išvengti daug rūpesčių.
Ketvirta, telemetrija ir medžioklė. Stebi „osascript“, „dockutil“, „~/.zshrc“ pakeitimus ir „LaunchDaemons“Jei valdote įrenginių parkus, įtraukite EDR taisykles, kurios aptinka neįprastus kompiliuotus „AppleScript“ scenarijus arba pasikartojančius kodo įkėlimus kūrimo procesuose.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.