(图片来源网络,侵删)
攻击者在 2023 年盯上了 macOS 平台,传统上公众认为 macOS 比其他平台更加安全,但其实苹果的操作系统也面临着各种网络攻击分析人员整理了 2023 年最重要的 macOS 恶意软件,详细介绍了其特征和影响macOS 平台的恶意软件最多的类别是后门(29.6%),其次是信息窃密(25.9%),紧随其后的是远控木马(14.8%)广告类恶意软件也有所增长,与漏洞利用类恶意软件一同构成了 macOS 平台最常见的恶意软件一月2023 年一开始,Dridex RAT 就浮出了水面Dridex RAT 是 Dridex 银行木马的变种,曾经是 Windows 平台独占的恶意软件攻击者目前也将其迁移到 macOS 平台,覆盖更多潜在受害者该恶意软件是信息窃密类恶意软件,旨在窃取各种用户凭据Dridex RAT 使用了一项新技术:将恶意宏代码与 Mach-O 或者可自动执行的 Mac 文件结合起来使用这种方式,攻击者无需再将恶意代码藏在恶意 Word 文件中,通过发票等主题对用户进行欺骗Dridex 被归因为总部位于俄罗斯的网络犯罪团伙 Evil Corp(Indrik Spider)二月二月是挖矿猖獗的月份攻击者将恶意软件伪装成合法软件,例如 Apple Logic Pro X 和 Final Cut Pro 等,诱骗受害者下载并安全该恶意软件应用程序攻击者在失陷主机上部署开源矿机 XMRig 挖矿,对门罗币或者其他加密货币进行挖掘获利众所周知,此类恶意软件通常都会感染数十万台设备三月攻击者加快了步伐,SmoothOperator 3CX 和臭名昭著的 MacStealer 浮出水面二者都是窃密类恶意软件,这类恶意软件也是 macOS 平台增长最快的恶意软件类型之一SmoothOperator 3CX 是针对供应链进行攻击的高级窃密类恶意软件,被认为与朝鲜黑客组织有关SmoothOperator 恶意软件入侵了流行的 VoIP 软件 3CX,这一软件被全球数十万客户使用,甚至包括许多知名的大公司安全专家认为,Smooth Operator 攻击有可能是自 2020 年 SolarWinds 攻击以来最严重的供应链攻击MacStealer 的攻击者也使用了类似的方法,利用 Telegram 从浏览器和钥匙串的数据库中提取敏感数据影响 Intel、M1 和 M2 CPU 的各类苹果设备,macOS Catalina 以及更新版本的操作系统都受到波及恶意软件通过 .dmg 文件中的虚假密码提示进行传播,再利用 Python 将收集到的数据回传到 C&C 服务器四月四月是网络安全最繁忙的一个月,RustBucket、AMOS(Atomic Stealer)、POOLRAT 和 Lockbit 对全球的 macOS 用户发起了大规模攻击RustBucket 以建立持久化、检测逃避给安全分析人员留下了很深的印象该后门被认为与朝鲜黑客 BlueNoroff 有关,该小组隶属于 Lazarus Group,后者普遍被业界认为是朝鲜 RGB 部门负责管理的晶莹黑客小组RustBucket 是一个基于 AppleScript 的后门,通过与 C&C 服务器进行通信下载和执行各种 Payload该恶意软件自带持久化技术,并通过各种技术降低被发现的概率最新变种 REF9135,被发现针对美国加密货币公司进行攻击AMOS(Atomic Stealer)可以说是全年最活跃的恶意软件,攻击者在 Telegram 中对其进行大肆宣传AMOS 专门针对 macOS 系统开发,旨在窃取各种敏感信息(钥匙串密码、加密钱包密码、浏览器凭据和各种敏感文件)该恶意软件通过 .dmg 文件进行传播,显示虚假的密码提示以获取系统密码Lockbit 攻击者在 2023 年也盯上了 macOS 系统,至此该勒索软件团伙已经横跨 Windows、Linux、VMware ESXi 与 macOS 各个平台进行加密,甚至包括使用 Apple M1 芯片的设备五月五月的后门 Snake 和 Geacon 异常活跃,二者都是针对 macOS 进行攻击的Snake 是 Turla 组织开发的恶意软件,该团伙经验丰富,自从 2004 年开始一直保持存在Turla 专门开发了恶意后门 Snake 来入侵 macOS 设备,足见该攻击者对各类威胁的熟稔相比 Snake,来自 Geacon 的威胁就没有那么大Geacon 是业界知名的 Cobalt Strike 的 Go 实现版本,从 5 月开始支持 macOS 平台VirusTotal 上已经检出了 Geacon 的变种,有一些是真正恶意攻击所使用的六月REF9134(又名 JokerSpy)在六月异军突起获得大量关注,这是一个复杂的网络入侵工具该恶意软件针对日本加密货币交易所进行攻击,攻击者利用 sh.py 后门部署了 macOS Swiftbelt 工具,展现了高超的规避技术与研发水平七月七月是攻击者异常活跃的月份攻击组织 DangerousPassword 以加密货币交易所开发人员为攻击目标,横跨 Windows、macOS 与 Linux 系统在 macOS 与 Linux 系统中,攻击者将恶意代码注入 Python 脚本窃取用户数据另一个后门 GorjolEcho 则是伊朗黑客组织 APT42(又称 Charming Kitten)的手笔,该组织针对中东事务与核安全专家发起过多次攻击攻击者部署了特制的 macOS 变种 NokNok,该恶意软件收集用户数据并加密回传,攻击主要以网络间谍为主现在窃密类恶意软件越来多,ShadowVault 也是一种典型的窃密类恶意软件ShadowVault 旨在从 macOS 设备上窃取敏感数据,该恶意软件在后台静默运行,收集有价值的信息(如登录凭据与财务信息等)研究人员发现,ShadowVault 也通过恶意软件即服务的方式在线销售,这也是全球网络犯罪的大趋势同样的,窃密类恶意软件 Realst 也是通过虚假区块链游戏网站进行传播的Realst 会通过各种方式,如 ApplceScript 欺骗与虚假提示,窃取各种敏感信息(如加密钱包和密码)该恶意软件具有不同的变种,分别具有不同的特征这还不是全部,朝鲜黑客 Lazarus 也使用后门 FULLHOUSE 在七月发起攻击该恶意软件是使用 C/C++ 编写的,支持建立隧道与远程命令执行等后门常见功能八月八月的恶意软件继续多元化发展,HVNC 远控木马的兴起帮助了攻击者未授权访问 macOS 设备HVNC 远控木马的售价为 6 万美元,为攻击者提供了强大的技术支持,包括持久化、反向 Shell、远程文件管理器与 macOS 的兼容性相比之下,窃密恶意软件 XLoader 在 2023 年 8 月通过 OneNote 进行传播此前 XLoader 受到 Java 依赖的限制,最新更换为 C 与 Objective-C 进行开发XLoader 使用已被撤销的 Apple 开发者签名进行传播,窃取 Chrome 与 Firefox 浏览器的用户数据总体来说,广告类恶意软件卷土重来2017 年发现的 AdLoad 等恶意软件持续感染 macOS 系统广告类恶意软件可以用于下载其他恶意软件,通过恶意广告、捆绑软件、PiTM 攻击、后门和代理应用程序影响 macOS 的用户勒索软件在全年也留下不可磨灭的痕迹,Akira 勒索软件在八月通过 Cisco VPN 入侵进行勒索成为了头条新闻Akira 勒索软件的主要目标是破坏系统和网络、窃取数据并加密文件,勒索受害者付款九月九月出现了两个重大威胁,针对业务用户与敏感数据进行窃取MetaStealer 是一个全新的窃密程序,通过伪装成虚假客户端和虚假镜像包进行传播一旦执行成功,恶意软件就会提取敏感信息并回传数据第二个威胁是 Knight 勒索软件,这是 Cyclops 勒索软件的变种该勒索软件以勒索软件即服务(RaaS)的形式运行,要求受害者支付赎金才能进行数据解密Knight 一共有两个版本:一个是普通版本、另一个是精简版无论哪个版本,都主要通过网络钓鱼来进行攻击,社会工程学攻击在勒索软件攻击中仍然是持久的威胁十月十月份 Monti 出现,这是一种地下论坛中新出现的勒索软件联盟计划Monti 声称使用了 Conti 的 EXSi 勒索软件修改版本,这又是一个潜在的威胁并且,该团伙与早期勒索软件团伙 REvil 的关系也让人担忧研究人员发现了名为 DirtyNIB 的漏洞,该漏洞可以通过特制的 NIB 文件针对 macOS Monterey 与 Sonoma 的漏洞进行攻击该漏洞可以代码执行,凸显了漏洞缓解和更新的必要性卡巴斯基重磅宣布发现了“三角测量”的攻击行动,其中名为 TriangleDB 的复杂 iOS 间谍软件显示了看似合法应用程序也是有潜在风险的攻击者利用漏洞获取 root 权限,进行针对性攻击恶意软件使用 Objective-C 开发并且在内存中运行,这使得检测极具挑战使用加密的 Protobuf 数据与 C&C 服务器通信,攻击者可以远程控制失陷主机十一月安全人员发现朝鲜黑客又发起了新的攻击行动,通过 macOS 恶意软件感染区块链开发工程师Elastic 安全实验室率先披露了这一威胁,该恶意软件名为 Kandycorn(也称 REF700)攻击在十一月展开,通过多阶段部署到受害者处攻击最初使用了 Python 脚本,后续部署了 SugarLoader 和 HLoader 的变种,最终使用了 Kandycorn 远控木马该恶意软件支持数据收集、任意命令执行以及其他恶意 Payload 下载等功能,多阶段攻击可能会造成非常重大的损害十二月这一年以 WSProxy 结束,这是一个通过破解软件包进行传播的后门攻击者将恶意软件伪装成 GoogleHelperUpdate 代理,以此入侵受害者的主机设备尽管在发现时未观察到恶意 Payload,但攻击者有后续投递攻击的能力,这也提醒使用破解软件的用户是存在风险的结论2023 年 macOS 平台上的恶意软件持续增长,已经成为不可忽视的网络犯罪趋势暗网作为网络犯罪者的避风港,也在助长各类勒索软件即服务、恶意软件即服务等新业态这些商业模式大幅度降低了攻击者的准入门槛,使任何人都可以使用恶意软件macOS 平台上的窃密类恶意软件与后门程序也是大赢家,各类威胁仍然在多样化和动态变化参考来源https://moonlock.com/2023-malware-threats
0 评论