Onderzoekers van Bitdefender en Elastic Security Labs hebben een inbraak ontdekt bij een cryptobeurs in Japan. Bij de inbraak werd gebruikgemaakt van een aangepaste achterdeur en open source macOS-tools. Bedreigingsactoren gebruikten verschillende achterdeurtjes om spyware te implementeren op de systemen van slachtoffers om verkenningen uit te voeren en voor commando en controle.
Bedreiging: JokerSpy
Effecten:
Volgens onderzoekers van Elastic Security Labs probeerde de bedreigende actor de TCC-machtigingen (Transparency, Consent and Control) op macOS te omzeilen door een eigen TCC-database aan te maken en de bestaande te vervangen. Ze gebruikten ook een Python backdoor genaamd sh.py
, die zijn configuratie laadde uit een specifiek bestand en verschillende commando's en acties op het geïnfecteerde systeem mogelijk maakte. In hun onderzoek meldden de onderzoekers van Elastic Security Labs dat zodra de aanvallers toegang hadden gekregen tot het systeem met de JokerSpy achterdeur, de aanvallers een instantie van SwiftBelt uitvoerden, wat een bekende open source macOS post-exploitation reconnaissance toolset is, ontworpen voor red teaming.
Jamf Threat Labs heeft JokerSpy-malware effectief geblokkeerd sinds de eerste openbaarmaking, wat aantoont dat we ons volledig richten op Apple platforms. De recente onthulling van het gebruik van SwiftBelt in de aanval benadrukt ook Jamf's capaciteit om snel nieuwe tools te analyseren, aangepaste blokkeerregels te maken en gelijke tred te houden met de evolutie van nieuwe bedreigingen. Belangrijk is dat Jamf Protect al meer dan twee jaar aangepaste regels heeft om SwiftBelt te blokkeren. Deze proactieve benadering onderscheidt ons van multi-platform leveranciers, die meestal pas iets doen aan nieuwe Apple exploitatietools als ze zijn gezien in actieve malwarecampagnes. Dit onderstreept ons vaste voornemen om de meest uitgebreide en actuele macOS-beveiliging te leveren.
Voorkomen door:
Jamf Protect volgt deze malwarecampagne en aangepaste bedreigingspreventieregels blokkeren de uitvoering ervan vanaf 19 juni 2023.
Daarnaast detecteert Jamf Protect in het algemeen en waarschuwt voor het maken van vervalste TCC-databases (zoals in deze aanval) via de gedragsanalytische: "TCC Databasebestand handmatig gemaakt". De TCC-database houdt bij aan welke apps een gebruiker speciale rechten heeft toegekend, zoals volledige schijftoegang of toegang tot hun contactpersonen. In het verleden moesten aanvallers voor deze beveiliging vaak hun eigen gewijzigde TCC.db-bestand op schijf maken en vervolgens het besturingssysteem ervan overtuigen om dat TCC.db-bestand te gebruiken in plaats van de database die door macOS was gemaakt.
IOC's (zoals gepubliceerd door Bitdefender en Elastic):
Kwaadaardige URL's (zoals gepubliceerd door Bitdefender en Elastic):
Malware is geen grapje — blijf beschermd met Jamf.
Schrijf je in voor de Jamf blog
Ontvang markttrends, Apple-updates en Jamf-nieuws rechtstreeks in je inbox.
Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.