行业新闻与博客

据两家威胁情报提供商称，一名网络威胁行为者一直在利用旧的 LockBit 构建器来试验针对 Apple macOS 设备的勒索软件。

在 10 月 22 日的一份报告中，网络安全提供商 SentinelOne 的研究部门 SentinelLabs 分享了来自未识别威胁行为者的新型 macOS 恶意软件样本的观察结果。

该报告与趋势科技之前的发现相关，该发现表明 Golang 勒索软件样本滥用亚马逊简单存储服务 (S3) 传输加速功能窃取受害者的文件并将其上传到攻击者控制的 S3 存储桶。

在这两种情况下，恶意软件都试图伪装成 LockBit 勒索软件。

SentinelLabs 的研究人员将此活动集群命名为“macOS NotLockBit”。

MacOS NotLockBit 恶意软件分析

SentinelLabs 报告称，它检测到的勒索软件只能在安装了 Rosetta 仿真软件的 Intel Mac 或 Apple Silicon Mac 上运行。

勒索软件在执行时会从主机收集系统信息，例如产品名称、版本和构建、架构以及自上次启动以来的时间。然后，它会尝试将用户的数据泄露到远程服务器。

嵌入式公钥允许进行非对称加密，如果不知道攻击者持有的私钥就无法解密。

恶意软件使用这个嵌入的公钥来加密随机生成的主密钥。该密钥用于后续的文件加密过程，并写入存放在每个包含加密文件的文件夹中的 README.txt 文件，可通过其 .abcd 文件扩展名识别。

加密过程完成后，恶意软件会尝试使用 osascript 更改桌面壁纸并显示 LockBit 2.0 横幅。

LockBit 仅具名称

LockBit 3.0 构建器（又名 LockBit Black）于 2022 年 3 月发布，六个月后被该组织心怀不满的开发人员泄露，导致勒索软件即服务 (RaaS) 领域中断。

Recorded Future 的网络威胁情报分析师 Allan Liska 在接受Infosecurity采访时表示，这个泄露的构建器是“尽管 LockBit 集团本身的活跃程度远不及该集团，但我们仍然看到 LockBit 品牌活动有所增加”的主要原因，该集团在 2024 年初受到了执法部门打击的严重影响。

SentinelOne 高级威胁研究员 Jim Walter 告诉Infosecurity，该构建器降低了低技术恶意黑客的进入门槛。

“第一层组织由脚本小子级别的黑客活动分子组成，他们只是试图破坏并造成混乱和破坏，不一定从勒索软件行动中获利。除了历史上的破坏和 DDoS 活动之外，他们现在还可以使用 LockBit 构建器等广泛使用的勒索软件工具来表明立场，”他解释道。

然而，在 macOS NotLockBit 的情况下，勒索软件实际上并没有使用任何 LockBit 构建器。它只会导致出现 LockBit 2.0 横幅，这表明恶意软件背后的组织纯粹是在利用 LockBit 的高知名度。

SentinelLabs 报道称：“正如其他研究人员指出的那样，LockBit 2.0 已经被 3.0 版本取代一段时间了，其开发背后的关键参与者也已被逮捕，这意味着，开发这种恶意软件的人很可能不是 LockBit。”

MacOS 目标即将到来

此次攻击活动的另一个有趣元素是专门针对 macOS 设备——对于勒索软件攻击者来说，这仍然是未知领域。真正的 LockBit 组织是少数几个试图入侵 macOS 系统以部署勒索软件的组织之一。

SentinelLabs 的研究人员写道：“到目前为止，针对 Mac 电脑的勒索软件威胁充其量只是‘概念验证’，最坏的情况是完全无法达到其明显的目标。”

据报道，在该恶意软件的所有版本中，攻击者都受到 Apple 的“透明、同意和控制” (TCC) 保护的阻碍。由于恶意软件试图遍历某些目录并控制系统事件等进程，因此多个警报需要同意。然而，SentinelLabs 的研究人员预计，威胁行为者将在未来版本中开发出一种绕过这些保护措施的方法。

SentinelLabs 总结道：“macOS 上的勒索软件仍然是一个较小且不太可能发生的威胁，但很明显，威胁行为者已经明白，在其他平台上行之有效的双重勒索方法（本质上是信息窃取程序与文件锁相结合）在 Apple 桌面平台上同样可行。”