行業新聞與博客
以 MacOS 為中心的勒索軟件試圖利用 LockBit 品牌
據兩家威脅情報提供商稱,一名網絡威脅行為者一直在利用舊的 LockBit 構建器來試驗針對 Apple macOS 設備的勒索軟件。
在 10 月 22 日的一份報告中,網絡安全提供商 SentinelOne 的研究部門 SentinelLabs 分享了來自未識別威脅行為者的新型 macOS 惡意軟件樣本的觀察結果。
該報告與趨勢科技之前的發現相關,該發現表明 Golang 勒索軟件樣本濫用亞馬遜簡單存儲服務 (S3) 傳輸加速功能竊取受害者的文件並將其上傳到攻擊者控制的 S3 存儲桶。
在這兩種情況下,惡意軟件都試圖偽裝成 LockBit 勒索軟件。
SentinelLabs 的研究人員將此活動集羣命名為“macOS NotLockBit”。
MacOS NotLockBit 惡意軟件分析
SentinelLabs 報告稱,它檢測到的勒索軟件只能在安裝了 Rosetta 仿真軟件的 Intel Mac 或 Apple Silicon Mac 上運行。
勒索軟件在執行時會從主機收集系統信息,例如產品名稱、版本和構建、架構以及自上次啓動以來的時間。然後,它會嘗試將用户的數據泄露到遠程服務器。
嵌入式公鑰允許進行非對稱加密,如果不知道攻擊者持有的私鑰就無法解密。
惡意軟件使用這個嵌入的公鑰來加密隨機生成的主密鑰。該密鑰用於後續的文件加密過程,並寫入存放在每個包含加密文件的文件夾中的 README.txt 文件,可通過其 .abcd 文件擴展名識別。
加密過程完成後,惡意軟件會嘗試使用 osascript 更改桌面壁紙並顯示 LockBit 2.0 橫幅。
LockBit 僅具名稱
LockBit 3.0 構建器(又名 LockBit Black)於 2022 年 3 月發佈,六個月後被該組織心懷不滿的開發人員泄露,導致勒索軟件即服務 (RaaS) 領域中斷。
Recorded Future 的網絡威脅情報分析師 Allan Liska 在接受Infosecurity採訪時表示,這個泄露的構建器是“儘管 LockBit 集團本身的活躍程度遠不及該集團,但我們仍然看到 LockBit 品牌活動有所增加”的主要原因,該集團在 2024 年初受到了執法部門打擊的嚴重影響。
SentinelOne 高級威脅研究員 Jim Walter 告訴Infosecurity,該構建器降低了低技術惡意黑客的進入門檻。
“第一層組織由腳本小子級別的黑客活動分子組成,他們只是試圖破壞並造成混亂和破壞,不一定從勒索軟件行動中獲利。除了歷史上的破壞和 DDoS 活動之外,他們現在還可以使用 LockBit 構建器等廣泛使用的勒索軟件工具來表明立場,”他解釋道。
然而,在 macOS NotLockBit 的情況下,勒索軟件實際上並沒有使用任何 LockBit 構建器。它只會導致出現 LockBit 2.0 橫幅,這表明惡意軟件背後的組織純粹是在利用 LockBit 的高知名度。
SentinelLabs 報道稱:“正如其他研究人員指出的那樣,LockBit 2.0 已經被 3.0 版本取代一段時間了,其開發背後的關鍵參與者也已被逮捕,這意味着,開發這種惡意軟件的人很可能不是 LockBit。”
MacOS 目標即將到來
此次攻擊活動的另一個有趣元素是專門針對 macOS 設備——對於勒索軟件攻擊者來説,這仍然是未知領域。真正的 LockBit 組織是少數幾個試圖入侵 macOS 系統以部署勒索軟件的組織之一。
SentinelLabs 的研究人員寫道:“到目前為止,針對 Mac 電腦的勒索軟件威脅充其量只是‘概念驗證’,最壞的情況是完全無法達到其明顯的目標。”
據報道,在該惡意軟件的所有版本中,攻擊者都受到 Apple 的“透明、同意和控制” (TCC) 保護的阻礙。由於惡意軟件試圖遍歷某些目錄並控制系統事件等進程,因此多個警報需要同意。然而,SentinelLabs 的研究人員預計,威脅行為者將在未來版本中開發出一種繞過這些保護措施的方法。
SentinelLabs 總結道:“macOS 上的勒索軟件仍然是一個較小且不太可能發生的威脅,但很明顯,威脅行為者已經明白,在其他平台上行之有效的雙重勒索方法(本質上是信息竊取程序與文件鎖相結合)在 Apple 桌面平台上同樣可行。”
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服