过往大多窃资软体主要针对Windows电脑而来,但如今针对macOS用户的窃资软体接连出现,我们今天整理了Atomic Stealer(AMOS Stealer),以及北韩骇客打造的NimDoor,还有先前揭露的Odyssey Stealer,而这些事故都突显出相关攻击手法日益复杂的情形。
另一方面,上周勒索软体Hunters International宣布结束营运并免费提供解密金钥,此举也引起资安圈关注,但这并非代表骇客就此收手,而是为了避免遭到执法单位围剿,决定不再使用勒索软体从事破坏行为,有资安人员认为,此举之后会有其他勒索软体骇客跟进。
【攻击与威胁】
专门锁定macOS用户的窃资软体Atomic Stealer(AMOS Stealer)横行多年,不仅相关攻击行动接连传出,更衍生出其他变种Odyssey Stealer、Poseidon Stealer,最近其中一起事故,是骇客冒充美国电信业者Spectrum发动攻击,如今有资安业者指出,此窃资软体的开发团队打造了更加危险的版本,能让攻击者进一步控制受害电脑。
最近有一份调查报告指出,经营Atomic Stealer的俄罗斯骇客组织,过往主要集中心力的部分,在于透过浏览器的加密货币延伸套件、冷钱包下手,目的是搜括帐密资料,但现在资安业者Moonlock发现,他们在新版Atomic Stealer加入了后门的功能,也就是说,攻击者可借此窃资软体远端执行任意命令、得到完整的存取权限,并在受害电脑重开机后持续相关活动。
除了后门的部分,Moonlock提及Atomic Stealer具备其他新功能,如键盘侧录工具(keylogger),近期攻击目标也有异动:一改过往提供破解软体作为诱饵的策略,而是试图寻找持有加密货币资产的使用者下手,但Moonlock并未说明骇客如何找到攻击目标。
今年4月,资安业者Huntabil.IT揭露北韩骇客锁定一家Web3新创公司的攻击行动,后续有多份调查报告指出,也有其他Web3及加密货币组织遭遇类似攻击,其流程大多存在共通点,骇客运用了AppleScript、C++、Nim开发的指令码及二进位档案,锁定macOS用户下手。由于使用Nim程式语言打造恶意程式攻击macOS用户的情况并不常见,这样的情况引起资安业者SentinelOne注意,著手调查并还原详细的事故发生过程,指出这是一起大规模攻击行动。
这波攻击特别的地方在于,骇客在处理程序注入手法与远端通讯的过程里,皆透过TLS加密的WebSocket通讯协定wss来进行;再者,他们利用了SIGINT、SIGTERM的讯号标头,以便恶意软体停止运作或是电脑重开机的状况下,仍能持续在受害电脑活动。骇客在整个攻击流程广泛使用AppleScript指令码,不仅用于取得初期的入侵管道,也在后续流程执行Beacon与后门NimDoor的功能。
骇客假借网页故障或是进行图灵验证等理由做为幌子,要求使用者依照指示按下特定按钮,并开启执行视窗贴上恶意指令的ClickFix网钓攻击手法,自3年前研究人员Mr.d0x提出警告后,相关攻击变得极为泛滥,但这类攻击手法大多针对Windows用户而来,如今也有锁定macOS用户的情况。
最近资安业者Cyfirma揭露的窃资软体Odyssey Stealer,就是这样的例子,骇客利用多个ClickFix攻击策略,意图对使用者传递恶意的AppleScript指令码(osascripts),下达命令窃取Mac电脑浏览器的cookie、密码、加密货币钱包资料,以及浏览器外挂的内容。骇客主要借由注册与金融业者、苹果App Store、加密货币新闻网站拼字相似的网域,疑似锁定对金融与加密货币感兴趣的人士下手 。
骇客要求使用者依照指示按下Command+Space快速键,开启Spotlight的功能,然后输入Terminal并按下Return,最后按下网页上的复制按钮,将特定内容贴上终端机。但实际上用户复制的并非网站上的I am not a robot字串,而是骇客经过Base64演算法处理的指令码,从而在受害电脑下载窃资软体。
资安业者Group-IB今年4月揭露勒索软体Hunters International的最新动态,指出这些骇客疑似在司法单位的压力下,提供给加盟主的新版(第6版)勒索软体已不再具备留下勒索讯息的功能,该组织还另外推出名为Storage Software的工具,让加盟主能窃取受害组织资料的过程里,将相关中继资料回传到该团体的伺服器。而这么做的目的,很有可能是打算关闭Hunters International的专案,并使用World Leaks的名号另起炉灶,如今这样的推测得到证实,骇客正式宣布结束营运。
根据资安新闻网站Bleeping Computer的调查团队发现,Hunters International于7月3日正式宣布关闭其业务,并且直接提供解密金钥,意味著尚未付钱的受害组织可免费将资料复原。
对于骇客宣布免费提供解密金钥的现象,Comparitech研究员Rebecca Moody向资安新闻网站SecurityWeek透露,他们认为此举对受害组织应该几乎没有帮助,原因是这些骇客自5月开始并未再列出新的受害组织,而大部分的受害组织也已经复原自己的系统。也就是说,他们早就向骇客低头,选择付钱换得解密金钥。
其他攻击与威胁
【漏洞与修补】
资安厂商发现联想(Lenovo)电脑中一个预载档案被可写入资料,可能破坏Windows作业系统的AppLocker安全防护机制。
本问题是由资安顾问公司TrustedSec研究人员Oddvar Moe发现,问题档案是联想电脑预载于其Windows映像档、位于C:Windows目录下的mfgstat.zip。检视其存取控制表可以发现,一个经授权的使用者具有完整权限,可修改、读、写与执行档案。这就抵触了微软透过Windows AppLocker提供的防护。
研究人员在2019年发现这个问题,并在今年在新联想电脑上再次发现而确认。但他通报联想研究部门PSIRT,得到的回应是不会修补,而是告知用户如何移除mfgstat.zip来因应。
其他漏洞与修补
奥义智慧科技技术长暨共同创办人邱铭彰表示,目前已经有多家正在使用AI聊天机器人的企业用户会做先导测试(Pilot Run),预计今年第三季推出闸道端的AI防火墙产品XecGuard,便利更多企业使用。