Intel471’in yeni raporu, macOS’un, işletim sistemi için belirli kötü amaçlı yazılımlar geliştiren veya macOS bilgisayarlarda hedeflerine ulaşmak için platformlar arası diller kullanan tehdit aktörleri tarafından giderek daha fazla hedef alındığını ortaya koyuyor.
Vahşi doğada daha fazla macOS güvenlik açığından yararlanılıyor. Kötü amaçlı yazılımlar ve istismarlar hem siber suç hem de siber casusluk için kullanılabilir.
MacOS’ta her zamankinden daha fazla kötü amaçlı yazılım
Ocak 2023 ile Temmuz 2024 arasında araştırmacılar, en popülerleri bilgi hırsızları ve truva atları olmak üzere farklı kötü amaçlı yazılım türleriyle macOS sistemlerini hedef alan 40’tan fazla tehdit aktörünü gözlemledi.
Bilgi hırsızları
Bilgi çalan kötü amaçlı yazılımlar (diğer adıyla bilgi hırsızları) giderek daha fazla geliştirilmekte ve tüm işletim sistemlerinde dağıtılmaktadır; macOS da bir istisna değildir.
Bulut güvenlik şirketi Uptycs’e göre bilgi hırsızlarının karıştığı olaylar, 2022’nin aynı dönemine kıyasla 2023’ün ilk çeyreğinde iki katına çıktı. Siber güvenlik şirketi Group-IB ayrıca macOS bilgi hırsızlarıyla ilgili yer altı satışlarında da beş kat artış olduğunu bildirdi.
Bu tür yazılımlar, siber suçlular tarafından oturum açma kimlik bilgilerini, kimlik bilgileri olmadan kimlik doğrulamayı mümkün kılan oturum çerezlerini ve kredi kartı bilgileri veya kripto para cüzdanları gibi daha fazla veriyi çalmak için kullanılıyor. Yazılım aynı zamanda, çoğunlukla bireylerden ziyade şirketlerden geçerli kimlik bilgileri toplayan ve bunları diğer siber suçlulara satan ilk erişim aracıları tarafından da yaygın olarak kullanılıyor.
Atomic macOS Stealer veya AMOS olarak da adlandırılan Atomic Stealer, 2023’ten bu yana en popüler macOS bilgi hırsızlarından biridir. macOS cihazlarından ve tarayıcılarından kimlik bilgilerini ve kripto para birimi cüzdan verilerini çalmak için tasarlanmıştır.
Ancak çok sayıda siber suçlu, macOS’u hedef alan diğer bilgi hırsızlarını çalıştırıyor veya reklamını yapıyor. Codehex lakaplı bir tehdit aktörü, çeşitli Chrome tabanlı tarayıcılardan verileri, güvenliği ihlal edilmiş bilgisayarlarda depolanan dosyaları ve kripto para birimi cüzdanlarındaki verileri çalabilen ShadowVault adlı bir macOS bilgi hırsızının reklamını yaptı.
Kötü amaçlı yazılım operatörleri bunu bir Apple geliştirici imzasıyla da imzalayabilir ve bu da güvenlik yazılımının tespitini zorlaştırabilir. Kötü amaçlı yazılım, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) iş modeli kapsamında aylık 500 ABD Doları fiyatla satıldı.
Sistemlerden anahtarlık şifrelerinin yanı sıra kripto para cüzdanları ve popüler tarayıcı bilgilerini de çalma yeteneğine sahip bir başka daha pahalı bilgi hırsızı Quark Lab, ayda 3.000 dolara satıldı.
Truva atları
Uzaktan erişim truva atları, macOS’ta giderek yaygınlaşan bir başka popüler kötü amaçlı yazılım kategorisidir.
RUST’ta geliştirilen ve muhtemelen bir fidye yazılımı tehdit aktörüne bağlı bir macOS kötü amaçlı yazılımı olan RustDoor, denetleyicisine çeşitli işlevler sağlar:
- Uzaktan komutları yürütür.
- Güvenliği ihlal edilmiş sistemlerdeki dosyaları yönetir.
- Daha fazla yük ekler.
- Sistem bilgilerini toplar.
Bu, onu hem siber casusluk hem de siber suç tehdidi aktörleri için benzersiz bir araç haline getiriyor. Rust programlama dili, geliştiricinin kodu herhangi bir işletim sistemine kolayca taşımasına olanak tanıyan platformlar arası bir dil olduğundan, kötü amaçlı yazılım geliştiricileri arasında daha popüler hale geldi.
Fidye yazılımı
Intel471 tarafından yazıldığı gibi, “macOS fidye yazılımının ortaya çıkışı, tehdit aktörlerinin Apple kullanıcılarını tehlikeye atmak için yeni yollar aradığını göstermesi nedeniyle endişeleri artırıyor.”
Nisan 2023’te güvenlik araştırmacıları, Apple Silicon üzerinde çalışan daha yeni macOS sistemleri de dahil olmak üzere macOS cihazlarını hedef alan kötü şöhretli LockBit fidye yazılımı için yeni bir şifreleyici keşfetti.
2023’ün sonlarında Turtle adı verilen daha az gelişmiş başka bir fidye yazılımı geldi ve bir kez daha çapraz platform programlama dili olan Golang, diğer adıyla Go’da geliştirildi. Uzman güvenlik araştırmacısı Patrick Wardle’ın açıkladığı gibi, kötü amaçlı yazılım yalnızca geçici olarak imzalandı ve noter tasdiki yapılmadı; bu da onu Gatekeeper tarafından tespit edilebilir hale getiriyor.
Güvenlik açıklarından yararlanıldı
Yama yönetimi yazılım şirketi Action1’e göre 2023’te istismar edilen macOS güvenlik açıklarının sayısı %30’dan fazla arttı.
Ayrıca Intel471, Mart 2020’den Temmuz 2024’e kadar birden fazla macOS sürümünü etkileyen 69 güvenlik açığı buldu ve 10’dan fazla güvenlik açığı yüksek risk düzeyinde derecelendirildi. Bu güvenlik açıklarından bazıları siber casusluk tehdit aktörleri tarafından istismar ediliyor.
MacOS’un birden çok sürümünü hedefleyen, belirtilmemiş bir güvenlik açığı olan CVE-2023-41993, dünya çapında birden fazla devlet destekli kuruluşa satılan Cytrox’un Predator casus yazılımını yüklemek için kullanıldı.
Tehdit aktörleri ayrıca arabellek taşması güvenlik açığı olan CVE-2023-41064’ten de yararlandı. Siber casusluk tehdit aktörü, casus yazılımlarını devlet destekli kuruluşlara sattı.
oDmC3oJrrSuZLhp lakaplı bir siber suçlu, bir saldırganın hedeflenen sistemlerde rastgele kod çalıştırmasına olanak tanıyan CVE-2022-32893 güvenlik açığı için bir yeraltı forumunda 2,7 milyon dolara bir istismar satmayı teklif etti.
Devlet destekli tehdit aktörleri
Farklı casus yazılım sağlayıcıları hizmetlerini devlet destekli tehdit aktörlerine satmış olsa da, bu tehdit aktörlerinden bazıları macOS’a yönelik kötü amaçlı yazılım ve araçlar geliştiriyor.
Örneğin Kuzey Koreli tehdit aktörü BlueNoroff, RustBucket olarak bilinen, macOS için geliştirilen ve faaliyetleri kripto para birimleriyle ilgili olan finansal kurumları hedeflemeyi amaçlayan kötü amaçlı bir yükleyici geliştirdi.
Grup ayrıca, hedeflenen cüzdanlardan tüm kripto parayı çalmak amacıyla kripto para varlığına sahip bireyleri de hedef alıyor.
Rusya Silahlı Kuvvetler Genelkurmay Başkanlığı’na bağlı Rus tehdit aktörleri APT28 ve Rusya Dış İstihbarat Teşkilatı’na bağlı APT29 da macOS kötü amaçlı yazılımını kullandı.
APT28 tarafından kullanılan XAgent modüler arka kapısı uzun yıllardan beri varlığını sürdürüyor ve mesajlar, kişiler, sesli posta, çağrı geçmişleri, notlar ve takvimler içeren iOS yedeklemeleri de dahil olmak üzere güvenliği ihlal edilmiş macOS sistemlerinden veri çalmasına olanak tanıyan bir macOS sürümü içeriyordu. APT29, artık desteklenmeyen Empire platformlar arası uzaktan yönetim ve kullanım sonrası çerçeveyi kullanarak macOS’un hedeflenmesini sağladı.
Vietnam merkezli tehdit aktörü APT32, farklı kuruluşları hedeflemek için kullanılan bir macOS arka kapısını da devreye aldı.
Bu tehdide karşı nasıl korunulur
Yaygın güvenlik açıklarından etkilenmemek için macOS sistemleri her zaman güncel olmalı ve yama uygulanmış olmalıdır.
Kötü amaçlı yazılımları ve şüpheli etkinlikleri tespit etmek için sistemlere güvenlik yazılımı yerleştirilmelidir. İlk saldırıların çoğu kimlik avı e-postaları aracılığıyla yayıldığından, e-posta güvenlik çözümleri de kullanılmalıdır.
Son olarak, tüm çalışanların e-postalarda veya anlık mesajlaşma araçlarında kullanılan potansiyel sosyal mühendislik tekniklerini tespit etmek için eğitilmesi gerekir.
Açıklama: Trend Micro için çalışıyorum ancak bu makalede ifade edilen görüşler bana aittir.
Kaynak: https://www.techrepublic.com/article/threat-actors-target-mac-os-2024/