Hacker tìm cách đưa backdoor lên môi trường IOS của Dev

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
Hacker tìm cách đưa backdoor lên môi trường IOS của Dev
Các nhà nghiên cứu cho biết họ đã tìm thấy một thư viện mã Trojanized đang cố gắng cài đặt phần mềm độc hại với mục đích giám sát người dùng đã được tùy biến trên máy Mac của các nhà phát triển phần mềm iOS.
Xcodespy được biết đến dưới dạng một dự án độc hại được kẻ tấn công viết cho Xcode, một công cụ dành cho nhà phát triển được Apple cung cấp miễn phí cho các nhà phát triển để viết các ứng dụng cho iOS hoặc hệ điều hành Apple. Dự án là một bản sao của TabBarInteraction, một dự án nguồn mở hợp pháp giúp các nhà phát triển dễ dàng 'kích hoạt' các thanh tab iOS dựa trên tương tác người dùng. Dự án Xcode gồm một kho lưu trữ tất cả các tệp, tài nguyên và thông tin cần thiết để xây dựng một ứng dụng.
iu-2-1-jpeg.8384
Bên cạnh mã hợp lệ là một loạt tập lệnh bị mã hóa, được gọi là “Tập lệnh Thực thi”. Tập lệnh, được thực thi bất cứ khi nào mã nguồn "build" cho nhà phát triển được khởi chạy, kết nối với máy chủ do kẻ tấn công kiểm soát để tải xuống và cài đặt phiên bản tùy chỉnh của EggShell. Khi đó, backdoor mã nguồn mở sẽ theo dõi người dùng thông qua micrô, máy ảnh và bàn phím của họ.

Các nhà nghiên cứu của công ty bảo mật SentinelOne đã phát hiện ra dự án trojan này, đặt tên là XcodeSpy. Các nhà nghiên cứu đã phát hiện ra hai biến thể của EggShell tùy chỉnh được rải rác trên Internet bởi dự án độc hại này. Cả hai đều được tải lên VirusTotal bằng giao diện web của Nhật Bản, phiên bản đầu tiên ra mắt vào ngày 5/8 và phiên bản thứ hai vào ngày 13/10.
xcodespy-malware-virustotal.jpg

“Mẫu sau đó cũng được tìm thấy trong thực tế vào cuối năm 2020 trên máy Mac của một nạn nhân ở Hoa Kỳ”, nhà nghiên cứu Phil Stokes của SentinelOne viết trong một bài đăng trên blog hôm thứ Năm. "Nnạn nhân cho hay họ đã nhiều lần là mục tiêu của tin tặc APT Triều Tiên”.

Đến nay, các nhà nghiên cứu mới biết về một trường hợp thực tế, từ một tổ chức có trụ sở tại Hoa Kỳ. Các chỉ số từ phân tích của SentinelOne cho thấy chiến dịch đã "hoạt động ít nhất từ tháng 7 đến tháng 10/2020 và cũng có thể nhắm mục tiêu đến các nhà phát triển ở châu Á".

Các nhà nghiên cứu bị tấn công

Bài đăng hôm thứ Năm được đưa ra hai tháng sau khi các nhà nghiên cứu của cả Microsoft và Google cho rằng tin tặc được chính phủ Triều Tiên hậu thuẫn đang tích cực lây nhiễm máy tính của các nhà nghiên cứu bảo mật. Để chiếm được lòng tin của các nhà nghiên cứu, tin tặc đã dành nhiều tuần để xây dựng tính cách Twitter và phát triển các mối quan hệ làm việc trực tuyến.

Các Twitter giả mạo đã yêu cầu các nhà nghiên cứu sử dụng Internet Explorer để mở một trang web. Những ai bị dính mã độc sẽ thấy máy tính Windows 10 đã vá đầy đủ cài đặt một dịch vụ độc hại và backdoor lên bộ nhớ. Tuy nhiên, Microsoft đã vá lỗ hổng này vào tuần trước.

Bên cạnh việc sử dụng cách tấn công Watering-hole, tin tặc cũng gửi cho các nhà phát triển (nạn nhân) một Dự án Visual Studio có chủ đích chứa mã nguồn cho mã POC. Nhưng thực chất, bên trong dự án chứa mã độc đã được tùy biến để kết nối được với máy chủ C2C của những kẻ tấn công.

Các nhà phát triển có kinh nghiệm từ lâu đã nhận thức được tầm quan trọng của việc kiểm tra các Tập lệnh thực thi trước khi sử dụng dự án Xcode của bên thứ ba. Mặc dù việc phát hiện các tập lệnh không khó nhưng XcodeSpy đã cố gắng thực hiện công việc khó hơn bằng cách mã hóa tập lệnh.

lk60U5U3pm6L37PXJmpyScrZbCK7Zo8pE8UzO_5qjza2yTJh6DPwu4waksHOgo9tv8YffjwMlJyLNGsl81DnMpW_qFz5vXulojJ-OyYCTu2dfp3_OF_0IJtcR1GsD2WYAJLBRiT2

Khi được giải mã, tập lệnh đã liên hệ với một máy chủ tại cralev [.] Me và gửi lệnh bí ẩn mdbcmd thông qua một trình tự được tích hợp sẵn trên máy chủ.

asBmePN__00cG3ksbCMrljO879Ym1YE9BXovHC6zMUsUf0oL0PUOsmMkVmwCVC8rofEzN_kKEUVK26Mf_crCxoo-i1wjIuoc8tiKYntLmnVWdyMVqOLqZ3BosZK5h2fe1XszrY_M

Cảnh báo duy nhất mà nhà phát triển nhận được sau khi chạy dự án Xcode sẽ là một thông báo giống như sau:

wsfHtjS-VLdEflh--o0cwJwY2RLDVQOYj1O2d-wgK9xf47OGBcw3_rPpZTPE49630hOJdDvgnPOojj5JZw-1fACQ5CVWOnmukC5X6oNwA1sLPIBsrAJGt2RVBQGpPB9FHj8SHaV7

SentinelOne cung cấp một script giúp các nhà phát triển dễ dàng tìm thấy các đoạn mã "Thực thi Scripts" trong các dự án của họ. Bài đăng hôm thứ Năm cũng cung cấp các chỉ số cuộc tấn công, giúp các nhà phát triển tìm ra liệu họ có bị nhắm mục tiêu hoặc bị lây nhiễm hay không.

Đây không phải là lần đầu tiên Xcode được sử dụng trong một cuộc tấn công bằng phần mềm độc hại. Tháng 8 năm ngoái, các nhà nghiên cứu đã phát hiện ra các dự án Xcode có sẵn trực tuyến đã nhúng các mã khai thác vào hai lỗ hổng zero-day của Safari.

Trái ngược với XcodeGhost, lây nhiễm các ứng dụng, XcodeSpy nhắm mục tiêu vào các nhà phát triển. Đóng vai trò backdoor giám sát, sau khi XcodeSpy được cài đặt, những kẻ tấn công cũng sẽ phát tán phần mềm độc hại đến người dùng phần mềm của nhà phát triển.

Nhà nghiên cứu Stokes của SentinelOne cho hay: “Có thêm những kịch bản khác xảy ra với những nạn nhân có giá trị cao. Những kẻ tấn công có thể chỉ đơn giản là dò tìm các mục tiêu thú vị và thu thập dữ liệu cho các chiến dịch sau này hoặc chúng có thể đang cố gắng thu thập thông tin đăng nhập AppleID để sử dụng trong các chiến dịch khác sử dụng phần mềm độc hại có chữ ký mã Nhà phát triển Apple hợp lệ".
Url & Domain
  • www[.]cralev.me/
  • hxxps://www[.]liveupdate.cc/preview/update.php
  • hxxps://www[.]appmarket.co/category/search.php
  • hxxps://www[.]recentnews.cc/latest/details.php
  • hxxps://www[.]truckrental.cc/order/search.php
  • hxxps://www[.]everestnote.com/sheet/list.php
  • hxxps://www[.]alinbox.co/product/product_detail.php
  • hxxps://www[.]suppro.co/category/search.php
Tham khảo:
https://heimdalsecurity.com/blog/xcode-developers-targeted-with-eggshell-backdoor/
https://arstechnica.com/gadgets/202...awfully-hard-to-backdoor-ios-developers-macs/
https://labs.sentinelone.com/new-ma...gets-xcode-developers-with-eggshell-backdoor/
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
ios malware xcode xcodespy
Bên trên