یک صرافی رمزارز ناشناخته واقع در ژاپن در اوایل ماه جاری هدف حمله جدیدی برای استقرار یک درپشتی MacOS اپل به نام JokerSpy قرار گرفت.
Elastic Security Labs که مجموعه نفوذ را تحت نام REF9134 رصد می کند، گفت که این حمله منجر به نصب Swiftbelt، یک ابزار شمارش مبتنی بر سوئیفت شد که از ابزار منبع باز به نام SeatBelt الهام گرفته شده است.
JokerSky اولین بار هفته گذشته توسط Bitdefender مستند شد و آن را به عنوان یک جعبه ابزار پیچیده که برای نفوذ به ماشین های macOS طراحی شده است، توصیف کرد.
اطلاعات بسیار کمی در مورد عامل تهدید در پشت این عملیات وجود دارد، به جز این واقعیت که حملات از مجموعهای از برنامههای نوشته شده در پایتون و سوئیفت استفاده میکنند که دارای قابلیتهایی برای جمعآوری دادهها و اجرای دستورات دلخواه بر روی هاستهای در معرض خطر هستند.
یکی از اجزای اصلی جعبه ابزار یک باینری چند معماری با امضای خود است که به نام xcc شناخته می شود و برای بررسی مجوزهای FullDiskAccess و ScreenRecording طراحی شده است.
این فایل بهعنوان XProtectCheck امضا شده است، که نشاندهنده تلاشی برای تبدیل شدن به XProtect، یک فناوری آنتیویروس داخلی در macOS است که از قوانین تشخیص مبتنی بر امضا برای حذف بدافزارها از میزبانهای آلوده استفاده میکند.
در حادثه ای که توسط Elastic تجزیه و تحلیل می شود، ایجاد xcc توسط عامل تهدید "تلاش برای دور زدن مجوزهای TCC با ایجاد پایگاه داده TCC خود و تلاش برای جایگزینی پایگاه داده موجود" دنبال می شود.
محققین امنیتی Colson Wilhoit، Salim Bitam، Seth Goodwin، "در 1 ژوئن، یک ابزار جدید مبتنی بر پایتون مشاهده شد که از همان دایرکتوری xcc اجرا می شود و برای اجرای یک ابزار شمارش پس از بهره برداری macOS منبع باز به نام Swiftbelt مورد استفاده قرار گرفت." اندرو پیس و ریکاردو اونگورهانو گفتند.
این حمله یک ارائهدهنده خدمات ارز دیجیتال مستقر در ژاپن را هدف قرار داد که بر مبادله داراییها برای تجارت بیتکوین، اتریوم و سایر ارزهای دیجیتال رایج تمرکز داشت. نام شرکت فاش نشده است.
امنیت سایبری
باینری xcc، به نوبه خود، توسط Bash از طریق سه برنامه مختلف به نامهای IntelliJ IDEA، iTerm (یک شبیهساز ترمینال برای macOS) و Visual Studio Code راهاندازی میشود که نشان میدهد نسخههای پشتی برنامههای توسعه نرمافزار احتمالاً برای به دست آوردن دسترسی اولیه
ماژول قابل توجه دیگری که به عنوان بخشی از حمله نصب شده است sh.py است، یک ایمپلنت پایتون که به عنوان مجرای برای ارائه سایر ابزارهای پس از بهره برداری مانند Swiftbelt استفاده می شود.
محققان گفتند: «برخلاف سایر روشهای شمارش، Swiftbelt برای جلوگیری از ایجاد مصنوعات خط فرمان، کد سوئیفت را فراخوانی میکند». قابل توجه، انواع xcc نیز با استفاده از سوئیفت نوشته میشوند.
Elastic Security Labs که مجموعه نفوذ را تحت نام REF9134 رصد می کند، گفت که این حمله منجر به نصب Swiftbelt، یک ابزار شمارش مبتنی بر سوئیفت شد که از ابزار منبع باز به نام SeatBelt الهام گرفته شده است.
JokerSky اولین بار هفته گذشته توسط Bitdefender مستند شد و آن را به عنوان یک جعبه ابزار پیچیده که برای نفوذ به ماشین های macOS طراحی شده است، توصیف کرد.
اطلاعات بسیار کمی در مورد عامل تهدید در پشت این عملیات وجود دارد، به جز این واقعیت که حملات از مجموعهای از برنامههای نوشته شده در پایتون و سوئیفت استفاده میکنند که دارای قابلیتهایی برای جمعآوری دادهها و اجرای دستورات دلخواه بر روی هاستهای در معرض خطر هستند.
یکی از اجزای اصلی جعبه ابزار یک باینری چند معماری با امضای خود است که به نام xcc شناخته می شود و برای بررسی مجوزهای FullDiskAccess و ScreenRecording طراحی شده است.
این فایل بهعنوان XProtectCheck امضا شده است، که نشاندهنده تلاشی برای تبدیل شدن به XProtect، یک فناوری آنتیویروس داخلی در macOS است که از قوانین تشخیص مبتنی بر امضا برای حذف بدافزارها از میزبانهای آلوده استفاده میکند.
در حادثه ای که توسط Elastic تجزیه و تحلیل می شود، ایجاد xcc توسط عامل تهدید "تلاش برای دور زدن مجوزهای TCC با ایجاد پایگاه داده TCC خود و تلاش برای جایگزینی پایگاه داده موجود" دنبال می شود.
محققین امنیتی Colson Wilhoit، Salim Bitam، Seth Goodwin، "در 1 ژوئن، یک ابزار جدید مبتنی بر پایتون مشاهده شد که از همان دایرکتوری xcc اجرا می شود و برای اجرای یک ابزار شمارش پس از بهره برداری macOS منبع باز به نام Swiftbelt مورد استفاده قرار گرفت." اندرو پیس و ریکاردو اونگورهانو گفتند.
این حمله یک ارائهدهنده خدمات ارز دیجیتال مستقر در ژاپن را هدف قرار داد که بر مبادله داراییها برای تجارت بیتکوین، اتریوم و سایر ارزهای دیجیتال رایج تمرکز داشت. نام شرکت فاش نشده است.
امنیت سایبری
باینری xcc، به نوبه خود، توسط Bash از طریق سه برنامه مختلف به نامهای IntelliJ IDEA، iTerm (یک شبیهساز ترمینال برای macOS) و Visual Studio Code راهاندازی میشود که نشان میدهد نسخههای پشتی برنامههای توسعه نرمافزار احتمالاً برای به دست آوردن دسترسی اولیه
ماژول قابل توجه دیگری که به عنوان بخشی از حمله نصب شده است sh.py است، یک ایمپلنت پایتون که به عنوان مجرای برای ارائه سایر ابزارهای پس از بهره برداری مانند Swiftbelt استفاده می شود.
محققان گفتند: «برخلاف سایر روشهای شمارش، Swiftbelt برای جلوگیری از ایجاد مصنوعات خط فرمان، کد سوئیفت را فراخوانی میکند». قابل توجه، انواع xcc نیز با استفاده از سوئیفت نوشته میشوند.