- Jauns XCSSET variants ar uzlabotu obfuskāciju un vairāku noturību (zshrc, Dock un LaunchDaemon).
- Paplašina datu zādzības funkciju pārlūkprogrammā Firefox un pievieno griezēju, lai novirzītu kriptovalūtu darījumus no starpliktuve.
- Koplietotu Xcode projektu inficēšana: tikai palaišanai paredzēti AppleScripts, pārdēvēti moduļi un C2 eksfiltrācija.
- Ieteikumi: atjauniniet macOS, veiciet projektu auditu pirms to veidošanas un uzraugiet osascript/dockutil.
Ģimene malware XCSSET macOS operētājsistēmai ir atgriezies ar uzlabotu variantu, un tas nav mazsvarīgs sasniegums: Microsoft Threat Intelligence ir konstatējis būtiskas izmaiņas datu obfuskācijas, noturības un zādzības metodēs. kas paceļ latiņu šai senajai paziņai. Ja strādājat ar Xcode vai kopīgojat projektus starp komandām, jūs vēlēsities būt lietas kursā par notiekošo.
Kopš atklāšanas 2020. gadā XCSSET ir pielāgojies izmaiņām Apple ekosistēmā. Tagad tiek novērota pirmā publiski dokumentētā jaunā varianta esamība kopš 2022. gada., atklāts ierobežotos uzbrukumos, bet ar paplašinātām iespējām. Šī ir modulāra ļaunprogrammatūra, kas iekļūst Xcode projektos, lai izpildītu savu vērtumu, kad tie tiek kompilēti, un šajā iterācijā tā ietver viltīgākas taktikas, lai maskētos un noturētos.
Kas ir XCSSET un kāpēc tas tik labi izplatās?
Būtībā XCSSET ir ļaunprātīgu moduļu kopums, kas paredzēts, lai inficēt Xcode projektus un aktivizēt to funkcijas būvēšanas laikāVisuzticamākais izplatīšanās vektors ir projekta failu koplietošana starp sadarbojošiem izstrādātājiem. progr macOS operētājsistēmai, kas katrā versijā palielina izpildes iespējas.
Šī ļaunprogrammatūra vēsturiski ir spējusi izmantot nulles dienas ievainojamības, ievadīt kodu projektos un pat ieviest aizmugurējās durvis Apple ekosistēmas komponentos, piemēram, SafariVisā tās evolūcijas gaitā tā ir arī pievienojusi saderību ar jaunākām macOS un Apple Silicon (M1) arhitektūru versijām, demonstrējot ievērojamu pielāgošanās spēju.
Uz zemes XCSSET darbojas kā informācijas zaglis un kriptokultūras: spēj apkopot datus no populārām programmām (Evernote, Notes, Skype, Telegram, QQ, WeChat un vairāk), izfiltrē sistēmas un lietojumprogrammu failus un īpaši mērķē uz digitālajiem makiem. Turklāt daži varianti ir pierādījuši Neautorizēti ekrānuzņēmumi, failu šifrēšana un izpirkuma pieprasījuma izvietošana.
Kas jauns jaunākajā variantā
Microsoft ir detalizēti paziņojis, ka jaunākajā variantā ir iekļauts Jaunas apmulsināšanas, noturības un inficēšanas stratēģiju metodesMēs vairs nerunājam tikai par nosaukumu maiņu vai koda saspiešanu: tagad ir lielāka nejaušība veidā, kā tas ģenerē savas lietderīgās slodzes, lai piesārņotu Xcode projektus.
Pārsteidzoša izmaiņa ir kodēšanas metožu kombinēta izmantošana. Lai gan iepriekšējās iterācijas balstījās tikai uz xxd (hexdump), Jaunā versija pievieno Base64 un piemēro nejaušu iterāciju skaitu., apgrūtinot kravas identificēšanu un atšķetināšanu.
Arī moduļu iekšējie nosaukumi ir slēptāki nekā jebkad agrāk: Tie ir apmulsināti koda līmenī, lai slēptu to mērķi.Tas sarežģī statisko analīzi un korelāciju starp funkcijām un novērojamajiem efektiem sistēmā.
Noturība: “zshrc” un “dock” metodes
Viena no šīs XCSSET atgriešanās iezīmēm ir divi ļoti atšķirīgi ceļi, kā palikt dzīvam pēc inficēšanās. Metode “zshrc” izmanto čaulas konfigurāciju, lai automātiski palaistos katrā sesijā., un metode “dock” manipulē ar sistēmas saīsnēm, lai lietotājam caurspīdīgi izpildītu ļaunprātīgo vērtumu.
Izmantojot “zshrc” pieeju, ļaunprogrammatūra izveido failu ar nosaukumu ~/.zshrc_aliases ar lietderīgo slodzi un pēc tam pievieno komandu failam ~/.zshrc, kas nodrošina, ka fails tiek ielādēts katru reizi, kad tiek atvērta jauna sesija. Tas nodrošina noturību visos termināļos, neradot acīmredzamas aizdomas.
“Pieslēgšanās” plāns ietver parakstīta rīka lejupielādi no komandu un vadības servera, dockutil, lai pārvaldītu Dock elementusPēc tam tā izveido viltotu Launchpad lietotni un aizvieto ceļu uz īsto Launchpad Dock joslā ar šo viltoto lietotni. Rezultāts: katru reizi, kad lietotājs palaiž Launchpad no Dock joslas, tiek atvērta īstā lietotne un paralēli ļaunprātīgā lietderīgā slodze ir aktivizēta.
Kā pastiprinājums variants ievieš Jauni kritēriji, lai noteiktu, kur Xcode projektā ievietot lietderīgo slodziTas optimizē ietekmi un samazina iespēju, ka izstrādātājs, pārskatot projekta koku, pamanīs kaut ko neparastu.
AppleScript, slepena izpilde un inficēšanas ķēde
Microsoft pētījums apraksta, ka XCSSET izmanto AppleScripts kompilēts tikai palaišanas režīmā lai tas darbotos klusi un neļautu tiešai analīzei atklāt tā saturu. Šī metode atbilst tās mērķim — padarīt to neredzamu un apiet skriptu pārbaudes rīkus.
Infekcijas ķēdes ceturtajā fāzē tiek novērots, ka AppleScript lietojumprogramma palaiž čaulas komandu, lai lejupielādētu pēdējo posmuŠis pēdējais AppleScript skripts apkopo informāciju no apdraudētās sistēmas un palaiž apakšmoduļus, izsaucot funkciju boot(), kas vada iespēju modulāro izvietošanu.
Ir konstatētas arī loģikas izmaiņas: Papildu pārbaudes Firefox pārlūkprogrammai un cita metode ziņojumapmaiņas lietotnes Telegram klātbūtnes apstiprināšanai. Tās nav mazsvarīgas detaļas; tās liecina par skaidru nodomu padarīt datu vākšanu uzticamāku un paplašināt tās darbības jomu.
Pārdēvēti moduļi un jaunas daļas
Ar katru pārskatīto versiju XCSSET saime nedaudz mainīja savu moduļu nosaukumus, kas ir klasiska kaķa un peles spēle. apgrūtināt versiju un parakstu izsekošanuPat ja tā, tā funkcionalitāte kopumā saglabājas nemainīga.
Starp šī varianta iezīmētajiem moduļiem parādās tādi identifikatori kā vexyeqj (agrāk seizecj), kas lejupielādējiet vēl vienu moduli ar nosaukumu bnk un palaiž to, izmantojot osascript. Tas scenārijs pievieno datu validāciju, šifrēšanu, atšifrēšanu, papildu satura iegūšanu no C2 un notikumu reģistrēšanas iespējas, kā arī ietver komponentu “clipper”.
Tas ir arī minēts neq_cdyd_ilvcmwx, līdzīgi kā txzx_vostfdi, kas ir atbildīgs par izfiltrēt failus uz komandu un vadības serverimodulis; xmyyeqjx kas sagatavo Uz LaunchDaemon balstīta noturība; hei (agrāk jez), kas konfigurē a noturība, izmantojot Git; un iewmilh_cdyd, kas ir atbildīgs par datu zādzību no Firefox, izmantojot publiskā HackBrowserData rīka modificētu versiju.
- vexyeqjinformācijas modulis; lejupielādējiet un lietojiet BNK, integrē griezēju un šifrēšanu.
- neq_cdyd_ilvcmwxfailu eksfiltrācija uz C2.
- xmyyeqjxnoturība, ko nodrošina LaunchDaemon.
- heinoturība, izmantojot Git.
- iewmilh_cdydFirefox datu zādzība ar modificētu HackBrowserData.
Īpaši aktuāla ir uzmanība Firefox, jo paplašina darbības jomu ārpus Chromium un SafariTas nozīmē, ka potenciālo upuru loks palielinās, un vairākām pārlūkprogrammām tiek pilnveidotas akreditācijas datu un sīkfailu ieguves metodes.
Kriptovalūtas zādzība, izmantojot starpliktuves nolaupīšanu
Viena no vislielākajām bažām šajā evolūcijā ir “apgriešanas” modulis. Uzrauga starpliktuvi, meklējot regulāras izteiksmes, kas atbilst kriptovalūtu adresēm (dažādi maku formāti). Tiklīdz tas atrod atbilstību, tas nekavējoties aizstāj adresi ar uzbrucēja kontrolētu adresi.
Šim uzbrukumam nav nepieciešamas paaugstinātas privilēģijas, lai nodarītu postījumus: Cietušais nokopē savu adresi no sava maka, ielīmē to, lai nosūtītu līdzekļus, un neapzināti pārsūta to uzbrucējam.Kā norādīja Microsoft komanda, tas grauj uzticību kaut kam tik elementāram kā kopēšana un ielīmēšana.
Clipper un pārlūkprogrammas datu zādzības kombinācija padara XCSSET par Praktisks drauds kibernoziedzniekiem, kas koncentrējas uz kriptoaktīviemViņi var iegūt sesijas sīkfailus, saglabātās paroles un pat novirzīt darījumus, nepieskaroties upura redzamajam atlikumam, līdz ir par vēlu.
Citas neatlaidības un maskēšanās taktikas
Papildus “zshrc” un “dock” Microsoft apraksta, ka šis variants pievieno LaunchDaemon ieraksti, kas izpilda lietderīgo slodzi ~/.root failāŠis mehānisms nodrošina agrīnu un stabilu palaišanu un maskējas starp sistēmas pakalpojumu mudžekli, kas ielādējas fonā.
Ir novērota arī a izveide Viltus sistēmas iestatījumi.app failā /tmp, kas ļauj ļaunprogrammatūrai maskēt savu darbību, izliekoties par likumīgu sistēmas lietotni. Šāda veida personifikācija palīdz izvairīties no aizdomām, pārbaudot procesus vai ceļus nejaušas izpildes laikā.
Paralēli uzmanības centrā atkal ir XCSSET darbs pie informācijas apmulsināšanas: Sarežģītāka šifrēšana, nejauši moduļu nosaukumi un tikai palaišanai paredzēti AppleScriptsViss norāda uz kampaņas darbības laika pagarināšanu, pirms to neitralizē paraksti un noteikšanas noteikumi.
Vēsturiskās iespējas: ārpus pārlūkprogrammas
Atskatoties atpakaļ, XCSSET nav aprobežojies tikai ar pārlūkprogrammu iztukšošanu. Tā spēja iegūt datus no tādām lietotnēm kā Google Chrome, Opera, Telegram, Evernote, Skype, WeChat un Apple pašu lietojumprogrammas, piemēram, Kontakti un piezīmesTas ir, avotu klāsts, kas ietver ziņojumapmaiņu, produktivitāti un personas datus.
2021. gadā tādos ziņojumos kā Jamf tika aprakstīts, kā XCSSET izmantoja CVE-2021-30713, TCC ietvara apiešanas kļūda, dzert darbvirsmas ekrānuzņēmumi neprasot atļauju. Šī prasme atbilst skaidram mērķim: izspiegot un savākt sensitīvu materiālu ar minimālu berzi lietotājam.
Laika gaitā ļaunprogrammatūra tika pielāgota, lai macOS Monterey saderība un ar M1 mikroshēmām kaut kas uzsver tā nepārtrauktība un uzturēšana, ko veic uzbrucējiLīdz pat šai dienai precīza operācijas izcelsme joprojām nav skaidra.
Kā tas iezogas Xcode projektos
XCSSET izplatība nav detalizēta līdz milimetram, taču viss norāda uz to Izmantojiet Xcode projektu koplietošanas priekšrocības starp izstrādātājiemJa repozitorijs vai pakotne jau ir apdraudēta, jebkura nākamā versija aktivizē ļaunprātīgo kodu.
Šis modelis pārvērš izstrādes komandas par privileģēti izplatīšanās vektori, īpaši vidēs ar vāju atkarību pārbaudes praksi, veidošanas skriptiem vai koplietotām veidnēm. Tas ir atgādinājums, ka programmatūras piegādes ķēde ir kļuvis par atkārtotu mērķi.
Ņemot vērā šo scenāriju, ir loģiski, ka jaunais variants pastiprina loģika, lai izlemtu, kur projektā ievietot lietderīgās slodzesJo dabiskāka šķiet jūsu atrašanās vieta, jo mazāka iespēja, ka izstrādātājs to pamanīs ātrā skenēšanā.
Uzbrukuma ergonomika: kļūdas, posmi un pazīmes
Microsoft jau šogad bija paziņojis par XCSSET uzlabojumiem. kļūdu pārvaldība un noturībaSvarīgi ir tas, ka tagad tas iekļaujas pakāpeniskā inficēšanas ķēdē: AppleScript, kas palaiž čaulas komandu, kura lejupielādē vēl vienu AppleScript, kas savukārt apkopo sistēmas informāciju un palaiž apakšmoduļus.
Ja meklējat pazīmes, tad to klātbūtne ~/.zshrc_aliases, manipulācijas failā ~/.zshrc, aizdomīgi ieraksti failā LaunchDaemons vai dīvains System Settings.app fails failā /tmp Šie ir indikatori, no kuriem jāuzmanās. Jebkurai anomālai darbībai Dock joslā (piemēram, aizstātiem Launchpad ceļiem) vajadzētu arī aktivizēt trauksmes signālus.
Pārvaldītā vidē SOC vajadzētu kalibrēt noteikumus, kas tiecas pēc Neparasts osascript, atkārtoti dockutil izsaukumi un Base64 kodēti vai šifrēti artefakti saistīts ar Xcode būvēšanas procesiem un izmanto rīkus, lai skatīt darbojošos procesus operētājsistēmā macOSKompilācijas konteksts ir galvenais, lai samazinātu kļūdaini pozitīvu rezultātu skaitu.
Kam XCSSET ir vērsts?
Dabiski uzmanības centrā ir tie, kas izstrādā vai kompilē, izmantojot Xcode, taču ietekme var attiekties arī uz lietotājiem, kuri instalēt iebūvētās lietotnes no piesārņotiem projektiem. Finanšu daļa ir redzama sadaļā starpliktuves nolaupīšana, īpaši aktuāli tiem, kas regulāri rīkojas ar kriptovalūtām.
Datu jomā izspiešana no Firefox un citām lietotnēm pakļauj riskam akreditācijas datus, sesijas sīkfailus un personiskās piezīmes. Pievienojiet tam arī mantotās iespējas, kas pieejamas vietnē ekrānuzņēmumi, failu šifrēšana un izpirkuma maksas piezīmes, aina ir vairāk nekā pilnīga.
Līdz šim atklātie uzbrukumi, šķiet, ierobežota darbības joma, taču, kā tas bieži notiek, kampaņas patiesā mēroga izpratne var prasīt laiku. Modularitāte atvieglo ātras iterācijas, nosaukumu maiņu un precīza regulēšana, lai izvairītos no atklāšanas.
Praktiski ieteikumi riska mazināšanai
Pirmkārt, atjauniniet disciplīnu: Atjauniniet macOS un lietotnes un apsvērt ļaunprogrammatūras apkarošanas risinājumiXCSSET jau ir izmantojis ievainojamības, tostarp nulles dienas ievainojamības, tāpēc jaunināšana uz jaunāko versiju ievērojami samazina uzbrukuma virsmu.
Otrkārt, pārbaudīt Xcode projektus ko lejupielādējat vai klonējat no krātuvēm, un esiet ārkārtīgi piesardzīgs ar to, ko kompilējat. Pārskatiet būvēšanas skriptus, Palaišanas skripta fāzes, atkarības un visus failus, kas tiek izpildīti veidošanas procesā.
Treškārt, esiet uzmanīgi ar starpliktuvi. Izvairieties no nepārbaudītu maku adrešu kopēšanas/ielīmēšanasPirms darījumu apstiprināšanas divreiz pārbaudiet pirmo un pēdējo rakstzīmi. Tā ir neliela darbība, kas var ietaupīt daudz nepatikšanas.
Ceturtkārt, telemetrija un medības. Uzrauga osascript, dockutil, izmaiņas ~/.zshrc failā un LaunchDaemonsJa pārvaldāt iekārtu parkus, iekļaujiet EDR noteikumus, kas būvēšanas procesos atklāj neparastus kompilētus AppleScripts vai atkārtotas kodētas augšupielādes.
Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.