行業新聞與部落格

據兩家威脅情報提供商稱，一名網路威脅行為者一直在利用舊的 LockBit 構建器來試驗針對 Apple macOS 裝置的勒索軟體。

在 10 月 22 日的一份報告中，網路安全提供商 SentinelOne 的研究部門 SentinelLabs 分享了來自未識別威脅行為者的新型 macOS 惡意軟體樣本的觀察結果。

該報告與趨勢科技之前的發現相關，該發現表明 Golang 勒索軟體樣本濫用亞馬遜簡單儲存服務 (S3) 傳輸加速功能竊取受害者的檔案並將其上傳到攻擊者控制的 S3 儲存桶。

在這兩種情況下，惡意軟體都試圖偽裝成 LockBit 勒索軟體。

SentinelLabs 的研究人員將此活動叢集命名為“macOS NotLockBit”。

MacOS NotLockBit 惡意軟體分析

SentinelLabs 報告稱，它檢測到的勒索軟體只能在安裝了 Rosetta 模擬軟體的 Intel Mac 或 Apple Silicon Mac 上執行。

勒索軟體在執行時會從主機收集系統資訊，例如產品名稱、版本和構建、架構以及自上次啟動以來的時間。然後，它會嘗試將使用者的資料洩露到遠端伺服器。

嵌入式公鑰允許進行非對稱加密，如果不知道攻擊者持有的金鑰就無法解密。

惡意軟體使用這個嵌入的公鑰來加密隨機生成的主金鑰。該金鑰用於後續的檔案加密過程，並寫入存放在每個包含加密檔案的資料夾中的 README.txt 檔案，可透過其 .abcd 檔案擴充名識別。

加密過程完成後，惡意軟體會嘗試使用 osascript 更改桌面桌布並顯示 LockBit 2.0 橫幅。

LockBit 僅具名稱

LockBit 3.0 構建器（又名 LockBit Black）於 2022 年 3 月釋出，六個月後被該組織心懷不滿的開發人員洩露，導致勒索軟體即服務 (RaaS) 領域中斷。

Recorded Future 的網路威脅情報分析師 Allan Liska 在接受Infosecurity採訪時表示，這個洩露的構建器是“儘管 LockBit 集團本身的活躍程度遠不及該集團，但我們仍然看到 LockBit 品牌活動有所增加”的主要原因，該集團在 2024 年初受到了執法部門打擊的嚴重影響。

SentinelOne 高階威脅研究員 Jim Walter 告訴Infosecurity，該構建器降低了低技術惡意駭客的進入門檻。

“第一層組織由指令碼小子級別的駭客活動分子組成，他們只是試圖破壞並造成混亂和破壞，不一定從勒索軟體行動中獲利。除了歷史上的破壞和 DDoS 活動之外，他們現在還可以使用 LockBit 構建器等廣泛使用的勒索軟體工具來表明立場，”他解釋道。

然而，在 macOS NotLockBit 的情況下，勒索軟體實際上並沒有使用任何 LockBit 構建器。它只會導致出現 LockBit 2.0 橫幅，這表明惡意軟體背後的組織純粹是在利用 LockBit 的高知名度。

SentinelLabs 報道稱：“正如其他研究人員指出的那樣，LockBit 2.0 已經被 3.0 版本取代一段時間了，其開發背後的關鍵參與者也已被逮捕，這意味著，開發這種惡意軟體的人很可能不是 LockBit。”

MacOS 目標即將到來

此次攻擊活動的另一個有趣元素是專門針對 macOS 裝置——對於勒索軟體攻擊者來說，這仍然是未知領域。真正的 LockBit 組織是少數幾個試圖入侵 macOS 系統以部署勒索軟體的組織之一。

SentinelLabs 的研究人員寫道：“到目前為止，針對 Mac 電腦的勒索軟體威脅充其量只是‘概念驗證’，最壞的情況是完全無法達到其明顯的目標。”

據報道，在該惡意軟體的所有版本中，攻擊者都受到 Apple 的“透明、同意和控制” (TCC) 保護的阻礙。由於惡意軟體試圖遍歷某些目錄並控制系統事件等程序，因此多個警報需要同意。然而，SentinelLabs 的研究人員預計，威脅行為者將在未來版本中開發出一種繞過這些保護措施的方法。

SentinelLabs 總結道：“macOS 上的勒索軟體仍然是一個較小且不太可能發生的威脅，但很明顯，威脅行為者已經明白，在其他平臺上行之有效的雙重勒索方法（本質上是資訊竊取程式與檔案鎖相結合）在 Apple 桌面平臺上同樣可行。”