攻擊者在 2023 年盯上了 macOS 平臺(tái)，傳統(tǒng)上公眾認(rèn)為 macOS 比其他平臺(tái)更加安全，但其實(shí)蘋(píng)果的操作系統(tǒng)也面臨著各種網(wǎng)絡(luò)攻擊。分析人員整理了 2023 年最重要的 macOS 惡意軟件，詳細(xì)介紹了其特征和影響。

macOS 平臺(tái)的惡意軟件最多的類(lèi)別是后門(mén)（29.6%），其次是信息竊密（25.9%），緊隨其后的是遠(yuǎn)控木馬（14.8%）。廣告類(lèi)惡意軟件也有所增長(zhǎng)，與漏洞利用類(lèi)惡意軟件一同構(gòu)成了 macOS 平臺(tái)最常見(jiàn)的惡意軟件。

一月

2023 年一開(kāi)始，Dridex RAT 就浮出了水面。Dridex RAT 是 Dridex 銀行木馬的變種，曾經(jīng)是 Windows 平臺(tái)獨(dú)占的惡意軟件。攻擊者目前也將其遷移到 macOS 平臺(tái)，覆蓋更多潛在受害者。

該惡意軟件是信息竊密類(lèi)惡意軟件，旨在竊取各種用戶憑據(jù)。Dridex RAT 使用了一項(xiàng)新技術(shù)：將惡意宏代碼與 Mach-O 或者可自動(dòng)執(zhí)行的 Mac 文件結(jié)合起來(lái)。使用這種方式，攻擊者無(wú)需再將惡意代碼藏在惡意 Word 文件中，通過(guò)發(fā)票等主題對(duì)用戶進(jìn)行欺騙。Dridex 被歸因?yàn)榭偛课挥诙砹_斯的網(wǎng)絡(luò)犯罪團(tuán)伙 Evil Corp（Indrik Spider）。

二月

二月是挖礦猖獗的月份。攻擊者將惡意軟件偽裝成合法軟件，例如 Apple Logic Pro X 和 Final Cut Pro 等，誘騙受害者下載并安全該惡意軟件應(yīng)用程序。

攻擊者在失陷主機(jī)上部署開(kāi)源礦機(jī) XMRig 挖礦，對(duì)門(mén)羅幣或者其他加密貨幣進(jìn)行挖掘獲利。眾所周知，此類(lèi)惡意軟件通常都會(huì)感染數(shù)十萬(wàn)臺(tái)設(shè)備。

三月

攻擊者加快了步伐，SmoothOperator 3CX 和臭名昭著的 MacStealer 浮出水面。二者都是竊密類(lèi)惡意軟件，這類(lèi)惡意軟件也是 macOS 平臺(tái)增長(zhǎng)最快的惡意軟件類(lèi)型之一。

SmoothOperator 3CX 是針對(duì)供應(yīng)鏈進(jìn)行攻擊的高級(jí)竊密類(lèi)惡意軟件，被認(rèn)為與朝鮮黑客組織有關(guān)。SmoothOperator 惡意軟件入侵了流行的 VoIP 軟件 3CX，這一軟件被全球數(shù)十萬(wàn)客戶使用，甚至包括許多知名的大公司。安全專(zhuān)家認(rèn)為，Smooth Operator 攻擊有可能是自 2020 年 SolarWinds 攻擊以來(lái)最嚴(yán)重的供應(yīng)鏈攻擊。

MacStealer 的攻擊者也使用了類(lèi)似的方法，利用 Telegram 從瀏覽器和鑰匙串的數(shù)據(jù)庫(kù)中提取敏感數(shù)據(jù)。影響 Intel、M1 和 M2 CPU 的各類(lèi)蘋(píng)果設(shè)備，macOS Catalina 以及更新版本的操作系統(tǒng)都受到波及。惡意軟件通過(guò) .dmg 文件中的虛假密碼提示進(jìn)行傳播，再利用 Python 將收集到的數(shù)據(jù)回傳到 C&C 服務(wù)器。

四月

四月是網(wǎng)絡(luò)安全最繁忙的一個(gè)月，RustBucket、AMOS（Atomic Stealer）、POOLRAT 和 Lockbit 對(duì)全球的 macOS 用戶發(fā)起了大規(guī)模攻擊。

RustBucket 以建立持久化、檢測(cè)逃避給安全分析人員留下了很深的印象。該后門(mén)被認(rèn)為與朝鮮黑客 BlueNoroff 有關(guān)，該小組隸屬于 Lazarus Group，后者普遍被業(yè)界認(rèn)為是朝鮮 RGB 部門(mén)負(fù)責(zé)管理的晶瑩黑客小組。

RustBucket 是一個(gè)基于 AppleScript 的后門(mén)，通過(guò)與 C&C 服務(wù)器進(jìn)行通信下載和執(zhí)行各種 Payload。該惡意軟件自帶持久化技術(shù)，并通過(guò)各種技術(shù)降低被發(fā)現(xiàn)的概率。最新變種 REF9135，被發(fā)現(xiàn)針對(duì)美國(guó)加密貨幣公司進(jìn)行攻擊。

AMOS（Atomic Stealer）可以說(shuō)是全年最活躍的惡意軟件，攻擊者在 Telegram 中對(duì)其進(jìn)行大肆宣傳。AMOS 專(zhuān)門(mén)針對(duì) macOS 系統(tǒng)開(kāi)發(fā)，旨在竊取各種敏感信息（鑰匙串密碼、加密錢(qián)包密碼、瀏覽器憑據(jù)和各種敏感文件）。該惡意軟件通過(guò) .dmg 文件進(jìn)行傳播，顯示虛假的密碼提示以獲取系統(tǒng)密碼。

Lockbit 攻擊者在 2023 年也盯上了 macOS 系統(tǒng)，至此該勒索軟件團(tuán)伙已經(jīng)橫跨 Windows、Linux、VMware ESXi 與 macOS 各個(gè)平臺(tái)進(jìn)行加密，甚至包括使用 Apple M1 芯片的設(shè)備。

五月

五月的后門(mén) Snake 和 Geacon 異常活躍，二者都是針對(duì) macOS 進(jìn)行攻擊的。Snake 是 Turla 組織開(kāi)發(fā)的惡意軟件，該團(tuán)伙經(jīng)驗(yàn)豐富，自從 2004 年開(kāi)始一直保持存在。Turla 專(zhuān)門(mén)開(kāi)發(fā)了惡意后門(mén) Snake 來(lái)入侵 macOS 設(shè)備，足見(jiàn)該攻擊者對(duì)各類(lèi)威脅的熟稔。

相比 Snake，來(lái)自 Geacon 的威脅就沒(méi)有那么大。Geacon 是業(yè)界知名的 Cobalt Strike 的 Go 實(shí)現(xiàn)版本，從 5 月開(kāi)始支持 macOS 平臺(tái)。VirusTotal 上已經(jīng)檢出了 Geacon 的變種，有一些是真正惡意攻擊所使用的。

六月

REF9134（又名 JokerSpy）在六月異軍突起獲得大量關(guān)注，這是一個(gè)復(fù)雜的網(wǎng)絡(luò)入侵工具。該惡意軟件針對(duì)日本加密貨幣交易所進(jìn)行攻擊，攻擊者利用 sh.py 后門(mén)部署了 macOS Swiftbelt 工具，展現(xiàn)了高超的規(guī)避技術(shù)與研發(fā)水平。

七月

七月是攻擊者異?；钴S的月份。攻擊組織 DangerousPassword 以加密貨幣交易所開(kāi)發(fā)人員為攻擊目標(biāo)，橫跨 Windows、macOS 與 Linux 系統(tǒng)。在 macOS 與 Linux 系統(tǒng)中，攻擊者將惡意代碼注入 Python 腳本竊取用戶數(shù)據(jù)。

另一個(gè)后門(mén) GorjolEcho 則是伊朗黑客組織 APT42（又稱(chēng) Charming Kitten）的手筆，該組織針對(duì)中東事務(wù)與核安全專(zhuān)家發(fā)起過(guò)多次攻擊。攻擊者部署了特制的 macOS 變種 NokNok，該惡意軟件收集用戶數(shù)據(jù)并加密回傳，攻擊主要以網(wǎng)絡(luò)間諜為主。

現(xiàn)在竊密類(lèi)惡意軟件越來(lái)多，ShadowVault 也是一種典型的竊密類(lèi)惡意軟件。ShadowVault 旨在從 macOS 設(shè)備上竊取敏感數(shù)據(jù)，該惡意軟件在后臺(tái)靜默運(yùn)行，收集有價(jià)值的信息（如登錄憑據(jù)與財(cái)務(wù)信息等）。研究人員發(fā)現(xiàn)，ShadowVault 也通過(guò)惡意軟件即服務(wù)的方式在線銷(xiāo)售，這也是全球網(wǎng)絡(luò)犯罪的大趨勢(shì)。

同樣的，竊密類(lèi)惡意軟件 Realst 也是通過(guò)虛假區(qū)塊鏈游戲網(wǎng)站進(jìn)行傳播的。Realst 會(huì)通過(guò)各種方式，如 ApplceScript 欺騙與虛假提示，竊取各種敏感信息（如加密錢(qián)包和密碼）。該惡意軟件具有不同的變種，分別具有不同的特征。

這還不是全部，朝鮮黑客 Lazarus 也使用后門(mén) FULLHOUSE 在七月發(fā)起攻擊。該惡意軟件是使用 C/C++ 編寫(xiě)的，支持建立隧道與遠(yuǎn)程命令執(zhí)行等后門(mén)常見(jiàn)功能。

八月

八月的惡意軟件繼續(xù)多元化發(fā)展，HVNC 遠(yuǎn)控木馬的興起幫助了攻擊者未授權(quán)訪問(wèn) macOS 設(shè)備。HVNC 遠(yuǎn)控木馬的售價(jià)為 6 萬(wàn)美元，為攻擊者提供了強(qiáng)大的技術(shù)支持，包括持久化、反向 Shell、遠(yuǎn)程文件管理器與 macOS 的兼容性。

相比之下，竊密惡意軟件 XLoader 在 2023 年 8 月通過(guò) OneNote 進(jìn)行傳播。此前 XLoader 受到 Java 依賴(lài)的限制，最新更換為 C 與 Objective-C 進(jìn)行開(kāi)發(fā)。XLoader 使用已被撤銷(xiāo)的 Apple 開(kāi)發(fā)者簽名進(jìn)行傳播，竊取 Chrome 與 Firefox 瀏覽器的用戶數(shù)據(jù)。

總體來(lái)說(shuō)，廣告類(lèi)惡意軟件卷土重來(lái)。2017 年發(fā)現(xiàn)的 AdLoad 等惡意軟件持續(xù)感染 macOS 系統(tǒng)。廣告類(lèi)惡意軟件可以用于下載其他惡意軟件，通過(guò)惡意廣告、捆綁軟件、PiTM 攻擊、后門(mén)和代理應(yīng)用程序影響 macOS 的用戶。

勒索軟件在全年也留下不可磨滅的痕跡，Akira 勒索軟件在八月通過(guò) Cisco VPN 入侵進(jìn)行勒索成為了頭條新聞。Akira 勒索軟件的主要目標(biāo)是破壞系統(tǒng)和網(wǎng)絡(luò)、竊取數(shù)據(jù)并加密文件，勒索受害者付款。

九月

九月出現(xiàn)了兩個(gè)重大威脅，針對(duì)業(yè)務(wù)用戶與敏感數(shù)據(jù)進(jìn)行竊取。MetaStealer 是一個(gè)全新的竊密程序，通過(guò)偽裝成虛假客戶端和虛假鏡像包進(jìn)行傳播。一旦執(zhí)行成功，惡意軟件就會(huì)提取敏感信息并回傳數(shù)據(jù)。

第二個(gè)威脅是 Knight 勒索軟件，這是 Cyclops 勒索軟件的變種。該勒索軟件以勒索軟件即服務(wù)（RaaS）的形式運(yùn)行，要求受害者支付贖金才能進(jìn)行數(shù)據(jù)解密。Knight 一共有兩個(gè)版本：一個(gè)是普通版本、另一個(gè)是精簡(jiǎn)版。無(wú)論哪個(gè)版本，都主要通過(guò)網(wǎng)絡(luò)釣魚(yú)來(lái)進(jìn)行攻擊，社會(huì)工程學(xué)攻擊在勒索軟件攻擊中仍然是持久的威脅。

十月

十月份 Monti 出現(xiàn)，這是一種地下論壇中新出現(xiàn)的勒索軟件聯(lián)盟計(jì)劃。Monti 聲稱(chēng)使用了 Conti 的 EXSi 勒索軟件修改版本，這又是一個(gè)潛在的威脅。并且，該團(tuán)伙與早期勒索軟件團(tuán)伙 REvil 的關(guān)系也讓人擔(dān)憂。

研究人員發(fā)現(xiàn)了名為 DirtyNIB 的漏洞，該漏洞可以通過(guò)特制的 NIB 文件針對(duì) macOS Monterey 與 Sonoma 的漏洞進(jìn)行攻擊。該漏洞可以代碼執(zhí)行，凸顯了漏洞緩解和更新的必要性。

卡巴斯基重磅宣布發(fā)現(xiàn)了“三角測(cè)量”的攻擊行動(dòng)，其中名為 TriangleDB 的復(fù)雜 iOS 間諜軟件顯示了看似合法應(yīng)用程序也是有潛在風(fēng)險(xiǎn)的。攻擊者利用漏洞獲取 root 權(quán)限，進(jìn)行針對(duì)性攻擊。惡意軟件使用 Objective-C 開(kāi)發(fā)并且在內(nèi)存中運(yùn)行，這使得檢測(cè)極具挑戰(zhàn)。使用加密的 Protobuf 數(shù)據(jù)與 C&C 服務(wù)器通信，攻擊者可以遠(yuǎn)程控制失陷主機(jī)。

十一月

安全人員發(fā)現(xiàn)朝鮮黑客又發(fā)起了新的攻擊行動(dòng)，通過(guò) macOS 惡意軟件感染區(qū)塊鏈開(kāi)發(fā)工程師。Elastic 安全實(shí)驗(yàn)室率先披露了這一威脅，該惡意軟件名為 Kandycorn（也稱(chēng) REF700）。攻擊在十一月展開(kāi)，通過(guò)多階段部署到受害者處。攻擊最初使用了 Python 腳本，后續(xù)部署了 SugarLoader 和 HLoader 的變種，最終使用了 Kandycorn 遠(yuǎn)控木馬。

該惡意軟件支持?jǐn)?shù)據(jù)收集、任意命令執(zhí)行以及其他惡意 Payload 下載等功能，多階段攻擊可能會(huì)造成非常重大的損害。

十二月

這一年以 WSProxy 結(jié)束，這是一個(gè)通過(guò)破解軟件包進(jìn)行傳播的后門(mén)。攻擊者將惡意軟件偽裝成 GoogleHelperUpdate 代理，以此入侵受害者的主機(jī)設(shè)備。盡管在發(fā)現(xiàn)時(shí)未觀察到惡意 Payload，但攻擊者有后續(xù)投遞攻擊的能力，這也提醒使用破解軟件的用戶是存在風(fēng)險(xiǎn)的。

結(jié)論

2023 年 macOS 平臺(tái)上的惡意軟件持續(xù)增長(zhǎng)，已經(jīng)成為不可忽視的網(wǎng)絡(luò)犯罪趨勢(shì)。暗網(wǎng)作為網(wǎng)絡(luò)犯罪者的避風(fēng)港，也在助長(zhǎng)各類(lèi)勒索軟件即服務(wù)、惡意軟件即服務(wù)等新業(yè)態(tài)。這些商業(yè)模式大幅度降低了攻擊者的準(zhǔn)入門(mén)檻，使任何人都可以使用惡意軟件。macOS 平臺(tái)上的竊密類(lèi)惡意軟件與后門(mén)程序也是大贏家，各類(lèi)威脅仍然在多樣化和動(dòng)態(tài)變化。