Неизвестная криптовалютная биржа, расположенная в Японии, стала объектом новой атаки в начале этого месяца с целью развёртывания бэкдора на macOS под названием JokerSpy.

Компания Elastic Security Labs, которая отслеживает вторжение под номером REF9134, сообщила, что атака привела к установке Swiftbelt, инструмента на основе Swift, вдохновленного утилитой с открытым исходным кодом под названием SeatBelt.

JokerSky был впервые задокументирован Bitdefender на прошлой неделе, описав его как сложный набор инструментов, предназначенный для взлома машин под управлением macOS.

Об организаторе атак известно крайне мало, кроме того, что атаки используют набор программ, написанных на языках Python и Swift, которые позволяют собирать данные и выполнять произвольные команды на взломанных узлах.

Основным компонентом набора инструментов является самоподписанный многоархитектурный двоичный файл, известный как xcc, который предназначен для проверки разрешений на полный доступ к диску и записи экрана.

Файл подписан как XProtectCheck, что указывает на попытку маскировки под XProtect, встроенную антивирусную технологию в macOS, которая использует правила обнаружения на основе сигнатур для удаления вредоносного ПО с уже зараженных узлов.

В инциденте, проанализированном специалистами Elastic, создание xcc сопровождается тем, что угрожающий субъект «пытается обойти разрешения TCC, создавая свою собственную базу данных и пытаясь заменить существующую».

Атаке подвергся крупный японский поставщик криптовалютных услуг, специализирующийся на обмене активов для торговли Bitcoin, Ethereum и другими распространёнными криптовалютами. Название компании не разглашается.

Бинарный файл xcc, в свою очередь, запускается с помощью Bash через три различных приложения, которые называются IntelliJ IDEA, iTerm (эмулятор терминала для macOS) и Visual Studio Code, что указывает на то, что для получения первоначального доступа, скорее всего, использовались взломанные версии программ для разработки программного обеспечения.

Другим заметным модулем, установленным в рамках атаки, является sh.py, имплант Python, который используется в качестве канала для распространения других инструментов пост-эксплуатации, таких как Swiftbelt.

Специалисты по безопасности продолжают следить за новыми атаками.


Ещё по теме: