朝鲜拉撒路组织借助“点击修复”攻击苹果电脑用户

应用程序安全、网络安全职业、云安全、网络风险、网络攻击与数据泄露、网络安全分析、网络安全运营、数据隐私、端点安全、工控与运营技术安全、身份与访问管理安全、内部威胁、物联网、移动安全、边界安全、物理安全、远程办公员工、威胁情报、漏洞与威胁

网络安全主题最新动态

朝鲜拉撒路组织通过“点击修复”瞄准苹果电脑用户

网络攻击与数据泄露

中国高级持续性威胁组织滥用多种云工具监视蒙古国

深度阅读：

全球、中东与非洲、亚太、拉丁美洲

即将举行的活动、播客、网络研讨会

资源库、新闻简报、播客、报告、视频、网络研讨会、白皮书、合作伙伴观点

《深度阅读》资源库

威胁情报、数据隐私、网络安全运营、应用程序安全、新闻

朝鲜拉撒路组织通过“点击修复”瞄准苹果电脑用户

拉撒路组织继续利用“点击修复”获取初始访问权限并窃取数据，

而这一次的目标是以苹果电脑生态为主的机构及其高价值领导层。

亚历山大·库拉菲，《深度阅读》高级新闻撰稿人

图片来源：阿列克谢·斯季奥普，经由阿拉米图片库提供

朝鲜拉撒路组织正在利用“点击修复”攻击手法，通过一种新型苹果电脑操作系统恶意软件发起网络攻击。

这一说法来自安全厂商安尼兰。

该公司于四月二十一日发布了有关一场新国家级威胁活动的研究报告。报告作者为进攻型安全专家、伯明翰网络军械公司创始人毛罗·埃尔德里奇。报告介绍了一波针对组织机构的“点击修复”攻击活动，这些攻击被用于分发多种恶意软件。而最新研究主要聚焦于一套新近识别出的苹果电脑操作系统恶意软件工具包，该工具包目前已经在真实攻击中被使用。

“点击修复”是一种在过去一年左右迅速受到关注的社交工程技术。威胁行为者会诱骗受害者访问由攻击者控制的基础设施，例如伪装成虚假视频会议的网站。

当受害者进入该网页后，页面会提示存在技术问题，只有更新软件才能解决。

攻击者通常会诱导受害者运行恶意代码，方式要么是复制并粘贴一条运行命令（针对视窗系统），要么是下载并打开一个包含相关代码的文件（通常针对苹果电脑操作系统）。

相关阅读：热带骑兵高级持续性威胁组织将目标对准家用路由器和日本目标

近来，“点击修复”一直是朝鲜威胁行为者偏爱的攻击手法之一。

拉撒路组织等实体利用这一手法获取初始访问权限，最终目标则是窃取加密货币、知识产权，或开展间谍活动。在这场最新行动中，拉撒路组织正将目标锁定在金融科技、加密货币领域，以及那些高度依赖苹果电脑设备的机构中的高价值领导层。

苹果电脑操作系统恶意软件完整攻击链

据 Eldritch 称，攻击者会通过 Telegram 联系企业高管，通常会利用属于目标同事或其熟人的已被攻陷账号。攻击者会向目标发送伪造的 Zoom、Microsoft Teams 或 Google Meet 邀请，借口存在商务合作机会，以安排一次对话。朝鲜攻击者也曾以潜在的工作机会作为诱饵。

目标加入通话后，会被提示输入一条命令来“修复”连接问题。由于该命令是由用户亲自输入的，许多传统安全控制措施不会被触发。而且，由于用户早已习惯于同意执行诸如更新软件之类的操作，因此像 ClickFix 这样的手法，相较于传统钓鱼邮件，未必会让用户产生同样多的警觉。

尤其是在攻击者事先以商务会议为幌子降低目标戒心的情况下，更是如此。

随后，博客文章写道，“该行动的重点是尽可能快地提取商业价值。” “攻击者会收集凭证、浏览器会话以及系统存储的敏感信息，包括 macOS 钥匙串数据。

” Any.Run 补充称，这类资产随后可被用于访问企业系统、软件即服务（SaaS）平台以及金融资源。

相关文章：非洲暂时将网络攻击“头号地区”的位置让给了拉丁美洲

一旦用户输入命令并连接到攻击者的基础设施，恶意软件就会以一个伪装性较强的名称下载为 macOS 应用程序 `.bin` 文件，例如“teamsSDK.bin”。

该应用程序会安装第二阶段二进制文件，并包含进一步获取用户信任的手段，例如显示“软件已更新”之类的提示信息。

接下来的二进制文件是一个系统分析工具，它会连接到攻击者托管的命令与控制（C2）基础设施。

随后，恶意程序会建立持久化机制，使该恶意工具包在每次登录时都能于主组件加载前再次被调用，之后才会加载名为“macrasv2”的窃密程序。

该窃密程序会整理此前收集到的数据，例如浏览器扩展数据、浏览器中存储的凭证与 Cookie、macOS 钥匙串条目等，并将其汇总到一个临时目录中，以便通过 Telegram 进行数据外传。之后，macrasv2 会运行自删除脚本，至此整个感染链完成。

尽管许多朝鲜国家支持的攻击在技术上都相当复杂，但 Eldritch 指出，macrasv2 “编写得很糟糕”。其中有多个组件要么尚未实现，要么实现错误；还有一些组件会陷入“无限循环，可能因系统资源被耗尽而暴露其存在”。

该恶意软件还暴露出多项操作安全弱点，包括泄露的 Telegram 机器人令牌，以及缺失认证机制的 C2 端点。

相关文章：《The Gentlemen》迅速跻身勒索软件前列

如何避免遭受 ClickFix 入侵

Any.Run 的博客虽然给出了失陷指标（IOC），但同样必须指出的是，无论一条攻击链看起来多么复杂，ClickFix 只有在终端用户执行了某条命令或下载了某个文件时才会奏效。

因此，组织对抗 ClickFix 的最佳方式，是让管理层和员工了解这种技术的运作方式以及它为何能够奏效，并且不要为了“解决连接问题”而去运行可疑命令或打开文件。

Any.Run 首席执行官 Aleksey Lapshin 向 Dark Reading 表示，尤其应当让 Mac 用户摆脱一种虚假的安全感，许多人长期以来一直被灌输“Mac 不会感染恶意软件”的观念。

组织还应主动追踪现实环境中出现的 ClickFix 样本，并将其中实际使用的命令回灌到 EDR 规则和执行策略中。最后，还应在终端设备上记录并限制诸如 `curl`、`wget`、`osascript` 和 `bash` 之类的高风险命令；这位首席执行官表示，许多组织根本没有对此进行监控，尤其是在 macOS 环境中。

“攻击者总是在寻找成本最低、命中率最高的入口点。突破企业安全的外围护城河——例如电子邮件网关、EDR 和边界过滤——会变得越来越昂贵。”

来源: Dark Reading