行業新聞與部落格

以 MacOS 為中心的勒索軟體試圖利用 LockBit 品牌

據兩家威脅情報提供商稱,一名網路威脅行為者一直在利用舊的 LockBit 構建器來試驗針對 Apple macOS 裝置的勒索軟體。

在 10 月 22 日的一份報告中,網路安全提供商 SentinelOne 的研究部門 SentinelLabs 分享了來自未識別威脅行為者的新型 macOS 惡意軟體樣本的觀察結果。

該報告與趨勢科技之前的發現相關,該發現表明 Golang 勒索軟體樣本濫用亞馬遜簡單儲存服務 (S3) 傳輸加速功能竊取受害者的檔案並將其上傳到攻擊者控制的 S3 儲存桶。

在這兩種情況下,惡意軟體都試圖偽裝成 LockBit 勒索軟體。

SentinelLabs 的研究人員將此活動叢集命名為“macOS NotLockBit”。

MacOS NotLockBit 惡意軟體分析

SentinelLabs 報告稱,它檢測到的勒索軟體只能在安裝了 Rosetta 模擬軟體的 Intel Mac 或 Apple Silicon Mac 上執行。

勒索軟體在執行時會從主機收集系統資訊,例如產品名稱、版本和構建、架構以及自上次啟動以來的時間。然後,它會嘗試將使用者的資料洩露到遠端伺服器。

嵌入式公鑰允許進行非對稱加密,如果不知道攻擊者持有的金鑰就無法解密。

惡意軟體使用這個嵌入的公鑰來加密隨機生成的主金鑰。該金鑰用於後續的檔案加密過程,並寫入存放在每個包含加密檔案的資料夾中的 README.txt 檔案,可透過其 .abcd 檔案擴充名識別。

加密過程完成後,惡意軟體會嘗試使用 osascript 更改桌面桌布並顯示 LockBit 2.0 橫幅。

LockBit 僅具名稱

LockBit 3.0 構建器(又名 LockBit Black)於 2022 年 3 月釋出,六個月後被該組織心懷不滿的開發人員洩露,導致勒索軟體即服務 (RaaS) 領域中斷。

Recorded Future 的網路威脅情報分析師 Allan Liska 在接受Infosecurity採訪時表示,這個洩露的構建器是“儘管 LockBit 集團本身的活躍程度遠不及該集團,但我們仍然看到 LockBit 品牌活動有所增加”的主要原因,該集團在 2024 年初受到了執法部門打擊的嚴重影響。

SentinelOne 高階威脅研究員 Jim Walter 告訴Infosecurity,該構建器降低了低技術惡意駭客的進入門檻。

“第一層組織由指令碼小子級別的駭客活動分子組成,他們只是試圖破壞並造成混亂和破壞,不一定從勒索軟體行動中獲利。除了歷史上的破壞和 DDoS 活動之外,他們現在還可以使用 LockBit 構建器等廣泛使用的勒索軟體工具來表明立場,”他解釋道。

然而,在 macOS NotLockBit 的情況下,勒索軟體實際上並沒有使用任何 LockBit 構建器。它只會導致出現 LockBit 2.0 橫幅,這表明惡意軟體背後的組織純粹是在利用 LockBit 的高知名度。

SentinelLabs 報道稱:“正如其他研究人員指出的那樣,LockBit 2.0 已經被 3.0 版本取代一段時間了,其開發背後的關鍵參與者也已被逮捕,這意味著,開發這種惡意軟體的人很可能不是 LockBit。”

MacOS 目標即將到來

此次攻擊活動的另一個有趣元素是專門針對 macOS 裝置——對於勒索軟體攻擊者來說,這仍然是未知領域。真正的 LockBit 組織是少數幾個試圖入侵 macOS 系統以部署勒索軟體的組織之一。

SentinelLabs 的研究人員寫道:“到目前為止,針對 Mac 電腦的勒索軟體威脅充其量只是‘概念驗證’,最壞的情況是完全無法達到其明顯的目標。”

據報道,在該惡意軟體的所有版本中,攻擊者都受到 Apple 的“透明、同意和控制” (TCC) 保護的阻礙。由於惡意軟體試圖遍歷某些目錄並控制系統事件等程序,因此多個警報需要同意。然而,SentinelLabs 的研究人員預計,威脅行為者將在未來版本中開發出一種繞過這些保護措施的方法。

SentinelLabs 總結道:“macOS 上的勒索軟體仍然是一個較小且不太可能發生的威脅,但很明顯,威脅行為者已經明白,在其他平臺上行之有效的雙重勒索方法(本質上是資訊竊取程式與檔案鎖相結合)在 Apple 桌面平臺上同樣可行。”


需要幫助嗎?聯絡我們的支援團隊 線上客服