В июне 2023 года исследователи кибербезопасности обнаружили новую вредоносную кампанию, связанную с группой JOKERSPY, которая использовала пользовательские инструменты macOS с открытым исходным кодом для атаки на японскую криптовалютную биржу. Атака, получившая обозначение REF9134, включала в себя применение специализированного программного обеспечения для разведки, управления и контроля над системами жертвы.
Описание
Первые признаки активности злоумышленников были зафиксированы в конце мая 2023 года, когда система защиты конечных точек Elastic Security Labs обнаружила выполнение подозрительного двоичного файла под названием xcc. Этот файл не имел доверенной подписи Apple, а вместо этого был подписан самим злоумышленником с использованием встроенных инструментов macOS. Хотя подобные действия не всегда указывают на злонамеренную активность, сочетание этого события с отраслевым контекстом и последующими действиями привлекло внимание аналитиков.
После запуска xcc исследователи заметили, что вредоносный агент пытался обойти механизмы защиты конфиденциальности macOS, известные как Transparency, Consent, and Control (TCC). Для этого злоумышленники создали собственную базу данных TCC и попытались заменить существующую, что могло бы позволить им получить доступ к защищенным системным ресурсам без ведома пользователя.
1 июня был обнаружен новый инструмент на базе Python, который запускался из того же каталога, что и xcc. Этот скрипт использовался для сбора данных с помощью Swiftbelt - эксплойта macOS с открытым исходным кодом, предназначенного для перечисления системной информации. Swiftbelt позволяет злоумышленникам получать детализированные сведения о системе, включая установленные приложения, конфигурации сети и другие критически важные данные, которые могут быть использованы для дальнейшей эксплуатации уязвимостей.
Атака на японскую криптовалютную биржу подчеркивает растущую угрозу, которую представляют собой киберпреступники, использующие открытое программное обеспечение и пользовательские инструменты для обхода традиционных средств защиты. В отличие от стандартных вредоносных программ, такие инструменты часто остаются незамеченными антивирусными решениями, так как они либо не содержат явных сигнатур, либо маскируются под легитимные процессы.
Эксперты по безопасности рекомендуют компаниям, особенно работающим в сфере криптовалют и финансовых технологий, усилить мониторинг подозрительной активности, связанной с недоверенными исполняемыми файлами и попытками изменения системных параметров. Также важно регулярно обновлять программное обеспечение и применять дополнительные меры защиты, такие как контроль целостности системных файлов и анализ поведения процессов в реальном времени.
Атака JOKERSPY демонстрирует, что злоумышленники продолжают совершенствовать свои методы, используя как готовые, так и кастомизированные инструменты. Это требует от организаций более гибкого и комплексного подхода к кибербезопасности, включающего не только традиционные средства защиты, но и продвинутые методы обнаружения аномалий.
Индикаторы компрометации
Domains
- app.influmarket.org
SHA256
- 8ca86f78f0c73a46f31be366538423ea0ec58089f3880e041543d08ce11fa626
- aa951c053baf011d08f3a60a10c1d09bbac32f332413db5b38b8737558a08dc1
- d895075057e491b34b0f8c0392b44e43ade425d19eaaacea6ef8c5c9bd3487d8
