行業新聞與博客

據兩家威脅情報提供商稱，一名網絡威脅行為者一直在利用舊的 LockBit 構建器來試驗針對 Apple macOS 設備的勒索軟件。

在 10 月 22 日的一份報告中，網絡安全提供商 SentinelOne 的研究部門 SentinelLabs 分享了來自未識別威脅行為者的新型 macOS 惡意軟件樣本的觀察結果。

該報告與趨勢科技之前的發現相關，該發現表明 Golang 勒索軟件樣本濫用亞馬遜簡單存儲服務 (S3) 傳輸加速功能竊取受害者的文件並將其上傳到攻擊者控制的 S3 存儲桶。

在這兩種情況下，惡意軟件都試圖偽裝成 LockBit 勒索軟件。

SentinelLabs 的研究人員將此活動集羣命名為“macOS NotLockBit”。

MacOS NotLockBit 惡意軟件分析

SentinelLabs 報告稱，它檢測到的勒索軟件只能在安裝了 Rosetta 仿真軟件的 Intel Mac 或 Apple Silicon Mac 上運行。

勒索軟件在執行時會從主機收集系統信息，例如產品名稱、版本和構建、架構以及自上次啓動以來的時間。然後，它會嘗試將用户的數據泄露到遠程服務器。

嵌入式公鑰允許進行非對稱加密，如果不知道攻擊者持有的私鑰就無法解密。

惡意軟件使用這個嵌入的公鑰來加密隨機生成的主密鑰。該密鑰用於後續的文件加密過程，並寫入存放在每個包含加密文件的文件夾中的 README.txt 文件，可通過其 .abcd 文件擴展名識別。

加密過程完成後，惡意軟件會嘗試使用 osascript 更改桌面壁紙並顯示 LockBit 2.0 橫幅。

LockBit 僅具名稱

LockBit 3.0 構建器（又名 LockBit Black）於 2022 年 3 月發佈，六個月後被該組織心懷不滿的開發人員泄露，導致勒索軟件即服務 (RaaS) 領域中斷。

Recorded Future 的網絡威脅情報分析師 Allan Liska 在接受Infosecurity採訪時表示，這個泄露的構建器是“儘管 LockBit 集團本身的活躍程度遠不及該集團，但我們仍然看到 LockBit 品牌活動有所增加”的主要原因，該集團在 2024 年初受到了執法部門打擊的嚴重影響。

SentinelOne 高級威脅研究員 Jim Walter 告訴Infosecurity，該構建器降低了低技術惡意黑客的進入門檻。

“第一層組織由腳本小子級別的黑客活動分子組成，他們只是試圖破壞並造成混亂和破壞，不一定從勒索軟件行動中獲利。除了歷史上的破壞和 DDoS 活動之外，他們現在還可以使用 LockBit 構建器等廣泛使用的勒索軟件工具來表明立場，”他解釋道。

然而，在 macOS NotLockBit 的情況下，勒索軟件實際上並沒有使用任何 LockBit 構建器。它只會導致出現 LockBit 2.0 橫幅，這表明惡意軟件背後的組織純粹是在利用 LockBit 的高知名度。

SentinelLabs 報道稱：“正如其他研究人員指出的那樣，LockBit 2.0 已經被 3.0 版本取代一段時間了，其開發背後的關鍵參與者也已被逮捕，這意味着，開發這種惡意軟件的人很可能不是 LockBit。”

MacOS 目標即將到來

此次攻擊活動的另一個有趣元素是專門針對 macOS 設備——對於勒索軟件攻擊者來説，這仍然是未知領域。真正的 LockBit 組織是少數幾個試圖入侵 macOS 系統以部署勒索軟件的組織之一。

SentinelLabs 的研究人員寫道：“到目前為止，針對 Mac 電腦的勒索軟件威脅充其量只是‘概念驗證’，最壞的情況是完全無法達到其明顯的目標。”

據報道，在該惡意軟件的所有版本中，攻擊者都受到 Apple 的“透明、同意和控制” (TCC) 保護的阻礙。由於惡意軟件試圖遍歷某些目錄並控制系統事件等進程，因此多個警報需要同意。然而，SentinelLabs 的研究人員預計，威脅行為者將在未來版本中開發出一種繞過這些保護措施的方法。

SentinelLabs 總結道：“macOS 上的勒索軟件仍然是一個較小且不太可能發生的威脅，但很明顯，威脅行為者已經明白，在其他平台上行之有效的雙重勒索方法（本質上是信息竊取程序與文件鎖相結合）在 Apple 桌面平台上同樣可行。”