CloudMensis-Erkennung: Neue Malware zur Datendiebstahl bei macOS-Nutzern
Inhaltsverzeichnis:
Neue CloudMensis-Malware wird mit hochgradig gezielten Angriffen aktiv. Forscher konnten noch nicht feststellen, welche Techniken Angreifer nutzten, um anfänglichen Zugang zu den Geräten der Opfer zu erlangen; jedoch deutet die geringe Anzahl der seit Februar dokumentierten Angriffe darauf hin, dass die CloudMensis-Malware eingesetzt wurde, um Informationen im Rahmen einer gezielten Kampagne für eine bestimmte und begrenzte Anzahl von Zielen zu exfiltrieren – weit entfernt davon, in einem weniger effektiven Spray-and-Pray-Ansatz angewendet zu werden.
Die Malware erregte erstmals im April 2022 Aufmerksamkeit in Sicherheitskreisen. Forscher entdeckten, dass ihr Hauptziel darin bestand, sensible Daten von infizierten Geräten zu sammeln und kompromittierte Nutzer auszuspionieren. CloudMensis nutzt öffentlichen Cloud-Speicher wie Dropbox, pCloud und Yandex Disk für C2-Kommunikation, wobei die Hauptziele Maschinen sind, die auf Intel- oder Apple-Chips laufen.
CloudMensis erkennen
Um einzelnen Nutzern und Organisationen zu helfen, ihre Infrastruktur besser zu schützen, unser aufmerksamer Threat Bounty Entwickler Onur Atali hat kürzlich eine Sigma-Regel veröffentlicht, die eine schnelle CloudMensis-Malware-Erkennung ermöglicht. Registrierte Nutzer können diese Regeln von der Detection as Code-Plattform von SOC Prime herunterladen:
CloudMensis macOS Spyware Detect (via file_event)
Die Erkennung kann auf mehr als 20 SIEM-, EDR- und XDR-Plattformen verwendet werden, abgestimmt auf das MITRE ATT&CK® Framework v.10, die die Ausführungstaktik mit der User Execution (T1204) Technik adressiert.
Experten der Cybersicherheit sind herzlich eingeladen, dem Threat Bounty Program beizutreten, um ihre Sigma-Regeln mit der Community von über 28.000 Nutzern und 600 Threat Bounty Program-Forschern und Bedrohungsjägern zu teilen, die aktiv ihre eigenen Erkennungsinhalte auf der SOC Prime Plattform beitragen und dafür wiederkehrende Belohnungen erhalten.
Erkunden Sie das Threat Detection Marketplace Repository der SOC Prime Plattform, indem Sie den Detect & Hunt Knopf drücken, um schnell komplexe Bedrohungen in schnell wachsenden Umgebungen zu identifizieren. Die Erkennungsinhalte-Bibliothek von SOC Prime wird ständig mit neuen Inhalten aktualisiert, die durch den kollaborativen Ansatz der Cyberabwehr und das Follow the Sun (FTS) Modell ermöglicht werden, um eine rechtzeitige Bereitstellung von Erkennungen für kritische Bedrohungen zu gewährleisten. Möchten Sie mit den neuesten Trends, die die aktuelle Bedrohungslandschaft im Cyberbereich formen, Schritt halten und in relevanten Bedrohungskontext eintauchen? Probieren Sie die Suchmaschine von SOC Prime aus! Drücken Sie den Explore Threat Context Knopf, um sofort in den Pool der Top-Bedrohungen und neu herausgegebenen Sigma-Regeln zu navigieren und relevante kontextuelle Informationen in einem One-Stop-Shop zu erkunden.
Detect & Hunt Explore Threat Context
CloudMensis-Analyse
Das Cybersicherheitsunternehmen ESET hat bisher undokumentierte Spyware ins Rampenlicht gerückt, die in der Objective-C Sprache geschrieben ist und verwendet wird, um Geräte, die auf dem macOS-Betriebssystem laufen, zu kompromittieren. Die erste Infektion geschah Anfang Februar 2022, mit darauf folgenden weiteren Angriffen, liest man in der Analyse, die von ESET-Forschern veröffentlicht wurde.
Wenn Hacker administrative Privilegien erlangen, wird die CloudMensis-Nutzlast in einem zweistufigen Prozess eingesetzt. Die erste Phase zeichnet sich durch das Herunterladen und die Ausführung der Hauptnutzlast als systemweiter Daemon aus. Die analysierte Malware-Probe ermöglichte es Forschern, 39 implementierte Befehle zu identifizieren, die es ermöglichen, solche Prozesse wie das Starten einer Bildschirmaufnahme, das Ausführen von Shell-Befehlen, das Abrufen und Ausführen beliebiger Dateien, das Ändern von Werten in den CloudMensis-Konfigurationen sowie das Auflisten von E-Mail-Nachrichten und Dateien von Wechselspeichern zu starten.
Cyber-Akteure nutzen routinemäßig schlechte Sicherheitskonfigurationen und andere schlechte Cyber-Hygienepraktiken, um ihre Trefferliste zu erweitern. SOC Prime stattet Informationssicherheitsprofis mit einem geeigneten Werkzeugset aus, um einen hochrangigen Einblick in bestehende und aufkommende Bedrohungen zu erhalten.
