Elastic Security Labs 與 Bitdefender 的研究人員日前發現了一個針對日本一間加密貨幣交易所的入侵事件,此次事件攻擊者使用了 macOS 開源工具與客製化的後門程式。他們所使用的各種後門程式,可在攻擊對象的系統上部署間諜軟體,藉此蒐集資訊與建立命令與控制 (C&C) 系統。
惡意軟體:JokerSpy
影響:
根據 Elastic Security Labs 研究人員的調查,攻擊者試圖藉由自行建立 TCC (Transparency、Consent 及 Control) 資料庫來繞過並取代既有的 macOS TCC 系統。攻擊者部署了名為 sh.py
的 Python 後門程式,上面承載來自特定檔案的配置設定,並會在入侵的系統上植入各種指令與動作。經 Elastic Security Labs 研究人員調查顯示,一旦攻擊者成功透過 JokerSpy 滲入系統,他們就會執行 SwiftBelt,這是個專為紅隊演練設計,已知且開源的 macOS 入侵後偵查工具。
自 JokerSpy 公開現身以來,Jamf Threat Labs 就能有效阻擋這個惡意軟體,如此的防禦能力也充分體現了我們專精 Apple 的實力。SwiftBelt 於攻擊事件中的濫用,讓 Jamf 的各項能力得以彰顯,包括快速分析新型態的惡意工具、建立自訂封鎖規則、緊跟新型威脅日新月異的步伐。過去兩年中,Jamf Protect 一直都在透過自訂規則持續封鎖 SwiftBelt。在專門攻擊 Apple 系統的新型工具被偵測到之前,多數後知後覺的多平台廠商,步調都慢了一拍,而我們積極應對事件的做法,正凸顯了我們與其他廠牌的不同之處。我們與時俱進,因此致力提供最完善 macOS 資安機制的努力也就不證自明。
抵禦方法:
截至 2023 年 6 月 19 日,Jamf Protect 持續追蹤並以自訂威脅防禦規定阻擋這個惡意軟體的相關活動。
此外,一旦有惡意人士建立 TCC 冒充版資料庫 (正如這次攻擊事件採用的手法),Jamf Protect 會透過行為分析無差別進行偵測並回報:「TCC 資料庫檔案已手動建立」。TCC 資料庫的用途是記錄哪些 App 可讓具備特殊權限的使用者存取、哪些 App 具備「全磁碟存取權限」或是可否存取「聯絡人」App。從過去的案件我們得知,攻擊者若要利用這類型安全性功能漏洞來發動攻擊,會先需要在磁碟上建立一個被動過手腳的 TCC.db 檔案,它要能夠讓作業系統不使用由 macOS 建立的資料庫,而是使用攻擊者的 TCC.db 檔案。
入侵指標 (IOC,由 Bitdefender 和 Elastic 發布):
惡意網址 (由 Bitdefender 和 Elastic 發布):
惡意軟體的問題不能一笑置之,就讓 Jamf 來為你確保安全無虞
訂閱 Jamf 部落格
將市場走向資訊、Apple 最新消息、Jamf 新聞等,直接發送到你的收件匣。
若要進一步了解我們如何蒐集、使用、揭露、傳輸及儲存您的資訊,請前往我們的隱私權政策頁面。