MacControl

MacControl, siber güvenlik analistleri tarafından, özellikle Mac kullanıcılarını hedeflemek için tasarlanmış, son aşama bir Truva atı tehdidi olarak sınıflandırılmıştır. MacControl kendisini kullanıcının bilgisayarına başarıyla yerleştirmeyi başarırsa, saldırganlara güvenliği ihlal edilen aygıt üzerinde geniş bir denetim düzeyi sağlayacaktır.

MacControl, silah haline getirilmiş kelime belgelerinin Mac kullanıcıları arasında yayıldığını gören hedefli bir saldırı kampanyasıyla teslim edildi. Bilgisayar korsanları, sistemde bir yer edinmek için eski bir Mac için Office güvenlik açığından yararlandı. Açıktan yararlanma, Microsoft Office Word, özellikle hatalı biçimlendirilmiş bir kaydı içermek üzere oluşturulmuş bir Word belgesini işlemeye çalıştığında ortaya çıkar. Güvenlik açığı sayesinde, tehdit aktörü uzaktan kod yürütme ayrıcalıklarına ulaşabilir. Siber suçlular programlar yükleyebilir, dosya sistemini manipüle edebilir, tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir, vb. Görünüşe göre, sınırlı haklara sahip hesapları olan kullanıcılar, tam yönetici haklarına sahip kullanıcılara kıyasla tehditten daha az etkileniyor.

MacControl Saldırı Zinciri

Saldırının ilk adımı, Truva Atılı Word belgesini içeren e-postanın ek olarak teslim edilmesidir. Kullanıcı bozuk belgeyi Mac için Office ile açtığında, kendisini belleğe kopyalayan ilk bozuk veriyi tetikler. Saldırının ikinci aşamasında, diskteki / tmp / klasörüne birkaç dosya kopyalanır ve ardından bozuk bir betik çalıştırılır.

Sonraki aşamada, ilk gerçek kötü amaçlı yazılım tehdidi virüslü sisteme bırakılır. New York merkezli bir Komuta ve Kontrol sunucusunda önceden tespit edilmiş bir tehdittir. Saldırı bir adım daha içeriyor ve burada daha önce bilinmeyen kötü amaçlı yazılım oluşturma olan MacControl bilgisayara teslim ediliyor. Her biri farklı bir mimari üzerinde çalışmak üzere tasarlanmış infosec araştırmacıları tarafından MacControl'ün birkaç farklı sürümü gözlemlendi.

MacControl Saldırısı Çin ile Bağlarını Gösteriyor

MacControl'ün bulunmasından veya Çin ile bağlantılı olmasından sorumlu suçlulara işaret eden güçlü kanıtlar ortaya çıkarıldı. Saldırıyı başlatmak için kullanılan cazibeli Word belgeleri, dokunaklı bölgesel konular hakkında konuşur ve Birleşmiş Milletler İnsan Hakları Komisyonu'na gönderilen bir mektup olarak görünecek şekilde yapılandırılmıştır. Konu, Çin'e karşı Tibet ayaklanmasının yıldönümü. Araştırmacılar, MacControl için Komuta ve Kontrol altyapısının da Çin'de bulunduğunu öğrendiklerinde başka bir bağlantı keşfedildi.