20.03.2021 | MacOS-бэкдор атакует разработчиков iOS-приложений |
Специалисты ИБ-компании SentinelOne рассказали о новом типе вредоносного ПО для macOS, которое используется в атаках на разработчиков iOS через троянизированные проекты Xcode. Вредоносное ПО XcodeSpy состоит из Run Script, добавленного в легитимный Xcode-проект под названием TabBarInteraction. Этот вредоносный скрипт запускается при каждой разработке Xcode-проекта, устанавливает LaunchAgent для сохранения персистентности после перезагрузки системы, а затем загружает вторичную полезную нагрузку - macOS-бэкдор EggShell. По словам экспертов, проанализировавших бэкдор, он обладает функциями записи аудио через микрофон устройства жертвы, а также записи видео и набранного текста на клавиатуре. Кроме того, EggShell позволяет загружать и выгружать файлы. Хотя управляющая LaunchAgent инфраструктура серверов XcodeSpy была отключена, исследователю безопасности SentinelOne Филу Стоуксу (Phil Stokes) удалось найти несколько установок бэкдора EggShell, загруженных на VirusTotal. Стоукс впервые узнал о бэкдоре от анонимного исследователя, обнаружившего его в сетях некой американской компании. Как сообщили представители компании, она регулярно подвергается кибератакам со стороны северокорейских APT-групп, и EggShell был обнаружен в процессе регулярных сканирований сети на признаки присутсвия в ней северокорейских хакеров. Однако, как отметил Стоукс, на 100% связать EggShell с северокорейскими APT-группами экспертам не удалось. Основываясь на собранных в ходе расследования сведениях, специалисты считают, что злоумышленники были активны в период с июля по октябрь 2020 года и в первую очередь атаковали разработчиков из Азии. |
Проверить безопасность сайта