Zhrnutie pre vedenie
Nedávna vlna útokov typu ClickFix priniesla niekoľko nových spôsobov kompromitácie používateľov a táto technika sa javí ako dlhodobý trend. Pozorovali sme, že skupina Lazarus ju využíva na šírenie rôznych druhov malvéru – od dobre známych rodín až po nezvyčajné varianty ako PyLangGhostRAT, čo je Python port pôvodnej Go verzie.
V tomto článku analyzujeme ďalšiu fázu tejto kampane: novo identifikovanú sadu macOS malvéru, ktorá je v súčasnosti aktívne distribuovaná.
Prehľad situácie
- Čo sa deje: Skupina Lazarus vedie aktívnu kampaň využívajúcu falošné stretnutia na získanie prístupu k firemným systémom, prihlasovacím údajom a citlivým dátam.
- Kto je ohrozený: Fintech, krypto a prostredia s vysokou hodnotou, kde macOS bežne používajú vývojári, manažéri a rozhodovatelia.
- Ako sa získava prístup: Používatelia sami vykonávajú príkazy, čo útočníkom umožňuje obísť tradičné kontrolné mechanizmy a operovať bez okamžitého odhalenia.
- Čo útočníci hľadajú: Prihlasovacie údaje, relácií prehliadača a dáta macOS Keychain, ktoré poskytujú priamy prístup k infraštruktúre a finančným aktívam.
- Prečo je to ťažké odhaliť: Útok sa spolieha na sociálne inžinierstvo a natívne binárne súbory macOS, čím znižuje viditeľnosť pre tradičné EDR nástroje.
- Ako sa dáta exfiltrujú: Telegram slúži ako dôveryhodný kanál na prenos citlivých dát mimo organizáciu.
- Čo to spôsobuje: Prevzatie účtov, neoprávnený prístup k infraštruktúre, finančné straty a odhalenie kritických dát.
- Čo to znamená pre CISO: Jediné kompromitované macOS zariadenie môže viesť k plnému prístupu do interných systémov, produkčných prostredí alebo krypto aktív.
- Ako by mali reagovať SOC tímy: Včasná identifikácia expozície prihlasovacích údajov pomocou multiplatformových analytických schopností ANY.RUN, ktoré ponúkajú o 36 % vyššiu mieru detekcie.
Nová macOS kampaň Lazarus ClickFix: Prečo sú firmy ohrozené
Skupina Lazarus aktívne vedie kampaň, ktorá mení bežnú obchodnú komunikáciu na priamu cestu ku krádeži prihlasovacích údajov a úniku dát.
Útok cieli na vedúcich pracovníkov prostredníctvom Telegramu, pričom často využíva kompromitované účty kolegov alebo kontaktov. Obete dostanú zdanlivo legitímne pozvanie na stretnutie a sú presmerované na falošnú kolaboračnú platformu napodobňujúcu Zoom, Microsoft Teams alebo Google Meet. Scenár je známy a naliehavý, čo znižuje podozrenie a zvyšuje pravdepodobnosť interakcie.
Namiesto zneužitia technickej zraniteľnosti sa útočníci spoliehajú na jednoduchú inštrukciu. Používateľ je vyzvaný, aby „opravil“ problém s pripojením skopírovaním a vykonaním príkazu. Tento krok prenáša kontrolu na útočníka bez spustenia mnohých tradičných bezpečnostných kontrol, keďže akciu vykoná sám používateľ.
Od toho momentu sa operácia zameriava na čo najrýchlejšie extrahovanie obchodnej hodnoty. Útočník zhromažďuje prihlasovacie údaje, relácie prehliadača a systémom uložené tajomstvá vrátane dát macOS Keychain. Tieto aktíva poskytujú okamžitý prístup k firemným systémom, SaaS platformám a finančným zdrojom.
Telegram sa opäť využíva ako exfiltračný kanál, čo umožňuje prenos ukradnutých dát cez legitímnu službu, ktorá splýva s bežnou prevádzkou.
V jadre tejto operácie je novo identifikovaná sada macOS malvéru „Mach-O Man“, objavená tímom Quetzal. Postavená ako súbor Go-based Mach-O binárnych súborov, odráža posun smerom k natívnym macOS hrozbám.
Technická analýza sady Mach-O Man
Stager (zavádzač)
Ako bolo opísané skôr, v tejto ClickFix kampani je obeť pozvaná na stretnutie cez Telegram, zvyčajne kompromitovaným kontaktom zdieľajúcim odkaz. Po návšteve odkazu je používateľ presmerovaný na stránku napodobňujúcu legitímnu platformu (Zoom, Meet alebo Teams). Stránka zobrazí falošné chybové hlásenie, ktoré tvrdí, že na vyriešenie problému musí používateľ skopírovať a vložiť príkaz do terminálu.
Vďaka interaktívnemu sandboxu ANY.RUN je možné tento príkaz bezpečne vykonať a pozorovať škodlivé správanie v zabezpečenom macOS VM bez rizika pre systémy.
Vloženie a spustenie príkazu v termináli vedie k inštalácii malvéru – konkrétne sa spustí teamsSDK.bin, stager a počiatočný komponent sady Mach-O Man.
Pri spustení bez argumentov binárny súbor zobrazí správu o použití a odhalí podporu pre napodobňovanie Google, Zoom, Teams a „System“. Zaujímavosť: ak zvolíte Google, malvér zdvorilo informuje, že táto možnosť „ešte nie je implementovaná.“
Pri správnom spustení stiahne falošnú macOS aplikáciu napodobňujúcu jednu z uvedených platforiem. Na zaistenie vykonania malvér využíva macOS nástroj codesign na aplikovanie ad-hoc podpisu, vďaka čomu systém aplikáciu považuje za riadne podpísanú.
Všetky aplikácie sú prakticky identické a líšia sa len minimálnymi vizuálnymi znakmi. Používateľa trikrát po sebe vyzývajú na zadanie hesla v lámavej angličtine. Prvé dva pokusy vždy zatrasú oknom, čo naznačuje nesprávne heslo (aj keď nie je), zatiaľ čo tretí pokus zmizne, akoby bolo overenie úspešné.
Na pozadí sa stiahne ďalšia fáza, zvyčajne pomenovaná vo formáte D1{??????}.bin.
Profiler
Tento druhý binárny súbor funguje ako systémový profiler. Zaregistruje hostiteľa na C2 serveri a odošle systémový profil vrátane názvu hostiteľa, jedinečného identifikátora, typu CPU, času zavedenia systému, sieťovej konfigurácie, bežiacich procesov a zoznamu rozšírení prehliadača – s cielením na Brave, Vivaldi, Opera, Chrome, Firefox a Safari.
Tieto informácie sú zapísané do textového súboru a odoslané na C2 server. Niektoré moduly sú chybné – tento konkrétne sa môže dostať do nekonečnej slučky, ktorá opakovane posiela systémový profil na C2 server, vyčerpáva systémové zdroje a celkom nápadne odhaľuje svoju prítomnosť.
Mechanizmus perzistencie
minst2.bin berie UUID stroja, URL adresu payloadu a názov súboru ako argumenty a stiahne vzdialený súbor s názvom localencode, ktorý uloží lokálne ako OneDrive a nastaví ho na spustenie pri štarte systému.
Na dosiahnutie tohto cieľa vytvorí priečinok s názvom „Antivirus Service“, kde uloží tento binárny súbor, a nastaví LaunchAgent – macOS ekvivalent Windows Service – na jeho spustenie pri štarte. Od tohto momentu znovu spúšťa sadu malvéru pri každom prihlásení.
Stealer (kradnúci komponent)
macrasv2 je finálny stealer a hlavný komponent reťazca. Zhromaždí všetky predtým zozbierané dáta vrátane dát rozšírení prehliadača, uložených prihlasovacích údajov a cookies (zvyčajne v SQLite databázach), zápisov macOS Keychain a ďalších súborov záujmu – a konsoliduje ich do dočasného adresára.
Dáta sú archivované do súboru s názvom user_ext.zip a exfiltrované cez Telegram. Operátori však odhalili svoj bot token, čo tretím stranám umožňuje interagovať s botom – čím výrazne oslabujú svoju operačnú bezpečnosť a zjednodušujú snahy o nahlásenie a prípadné odstránenie.
Nakoniec malvér vyvolá skript na samovymazanie delete_self.sh, ktorý jednoducho odstráni seba a ostatné komponenty pomocou systémového príkazu rm.
Ďalšie pozorovania
- Malvér je zle napísaný; niektoré komponenty sa dostanú do nekonečných slučiek, ktoré môžu odhaliť jeho prítomnosť v dôsledku vyčerpania systémových zdrojov.
- Boli identifikované slabiny v operačnej bezpečnosti, ako sú odhalené Telegram bot tokeny a C2 endpointy bez autentifikácie.
- Použitie ad-hoc podpisovania kódu naznačuje pokus o obídenie macOS kontrol spustenia bez platných vývojárskych prihlasovacích údajov.
- Analýza sieťovej prevádzky ukazuje, že malvér primárne komunikuje cez porty 8888 a 9999 a HTTP požiadavky konzistentne používajú User-Agent reťazec spojený s programovacím jazykom Go.
- Infraštruktúra protivníka odhalila viaceré služby vrátane WinRM, Chrome Remote Desktop, RDP a repliky C2 servera bežiacej na porte 110.
- Viaceré komponenty malvéru sú napísané v Go, čo potvrdzujú Go-špecifické reťazce a artefakty v binárnych súboroch.
Obrana pred útokmi Lazarus: Ako môžu CISO minimalizovať riziko
Phishing zneužívajúci dôveru, príkladom ktorého sú kampane ako Mach-O Man, využíva legitímne platformy na obídenie konvenčných bezpečnostných opatrení. Útočníci manipulujú ľudskou psychológiou prostredníctvom naliehavých žiadostí o stretnutie alebo falošných technických problémov, čím oklamú používateľov, aby vykonali škodlivé príkazy alebo prezradili prihlasovacie údaje.
Pre SOC tímy spočíva ťažkosť v včasnom odhalení týchto útokov, keďže často obchádzajú obranu založenú na signatúrach využívaním dôveryhodných služieb a akcií riadených používateľom.
Na boj proti týmto hrozbám musia SOC tímy prijať interaktívne sandboxovanie ako základ svojho triažneho procesu – s nástrojmi, ktoré umožňujú analýzu škodlivých súborov a URL adries naprieč Windows, macOS, Linux a Android v jedinom rozhraní, manuálnu simuláciu interakcií používateľa a zachytávanie behaviorálnych IOC.
Viac informácií:
https://www.linkedin.com/pulse/new-lazarus-apt-campaign-mach-o-man-macos-malware-up5ce
https://exchange.xforce.ibmcloud.com/osint/guid:cca0ed6f234546848ad6fb086809d6d5