Эволюция XCSSET: новая угроза для проектов Xcode

Эволюция XCSSET: новая угроза для проектов Xcode

Microsoft Threat Intelligence зафиксировала появление нового варианта вредоносного ПО XCSSET, ориентированного на проекты Xcode, используемые разработчиками в экосистеме Apple. Вредоносное ПО использует особенности совместной работы над проектами — файлы проекта часто передаются между разработчиками и участвуют в процессе сборки, что обеспечивает удобную поверхность для распространения внутри цепочки разработки.

Ключевые изменения в цепочке заражения

Новый вариант сохраняет сложную четырёхэтапную цепочку заражения, однако Microsoft отмечает существенные изменения на четвёртом этапе. Главные новации:

  • обновлённая функция загрузки (loader), призванная повысить операционную эффективность;
  • дополнительные проверки на наличие браузера Firefox и изменённая логика обнаружения/проверки существования приложения Telegram;
  • возможность загружать и запускать новые подмодули на этапе 4, что расширяет охват и функциональность вредоносного набора.

Основные модули и их возможности

Анализ показал несколько модулей со специализированными функциями. Ключевые из них:

  • vexyeqj — похититель информации, реализованный через скомпилированный AppleScript. Скрипт доступен только в скомпилированном виде; декомпиляция затруднительна, однако возможна для более глубокого анализа.
  • neq_cdyd_ilvcmwx — модуль-похититель файлов. Он загружает скрипты с сервера управления (C2) и выполняет их для эксфильтрации данных, используя временное хранилище (каталог) для загруженных скриптов. По поведению напоминает ранее выявленные угрозы, ориентированные на извлечение конфиденциальных данных цифровых кошельков из браузеров. При этом операции эксфильтрации могут выполняться и без явного предоставления сервером C2 списка папок.
  • xmyyeqjx — модуль закрепления: использует LaunchDaemon для выполнения вредоносных команд при запуске системы. Модуль изменяет пути к каталогам, проверяет наличие сетевого подключения и «вшивает» вредоносную полезную нагрузку в легитимные пользовательские файлы.
  • jey — модуль с механизмами обфускации: инкапсулирует логику дешифрования в оболочку-функцию, что затрудняет автоматический анализ и повышает устойчивость к обратной инженерии.
  • iewmilh_cdyd — новый похититель информации, ориентированный на Firefox. Инициирует работу загрузкой двоичного файла Mach-O FAT с сервера C2, который затем выполняет операции по краже данных.

Механизмы закрепления и устойчивость к анализу

Набор приёмов закрепления в последней версии XCSSET демонстрирует сознательные усилия злоумышленников по обеспечению устойчивости вредоноса: использование системных механизмов автозапуска (LaunchDaemon), модификация путей и файлов пользователя, а также применяемая обфускация — всё это усложняет обнаружение и восстановление. Возможность динамически загружать новые подмодули на четвёртом этапе делает угрозу модульной и легко расширяемой.

Риски для процессов разработки

Атаки, нацеленные на проекты Xcode, представляют особую опасность для команд и организаций, где исходный код и конфигурации проектов активно передаются между разработчиками и CI/CD-системами. Инфекция в проекте может привести к массовому распространению вредоноса при каждом релизе или сборке, компрометации ключей, сертификатов и конфиденциальных данных пользователей.

«Эти разработки в области вредоносного ПО XCSSET демонстрируют адаптивность и эволюционирующий характер киберугроз, нацеленных на средства разработки программного обеспечения», — отмечает Microsoft Threat Intelligence.

Рекомендации по обнаружению и реагированию

Исходя из обнаруженных техник и модулей, эксперты советуют следующие меры защиты:

  • использовать возможности мониторинга и предупреждений, доступные в Microsoft Defender XDR, для раннего обнаружения аномалий;
  • контролировать и аудитировать изменения в проектах Xcode и файлах сборки, особенно при совместном использовании репозиториев и пакетов;
  • проверять наличие подозрительных LaunchDaemon и других элементов автозапуска на рабочих машинах разработчиков;
  • сканировать на наличие скомпилированных AppleScript и неожиданных двоичных файлов (Mach-O FAT) в пользовательских каталогах и artefacts сборки;
  • ограничить права доступа и использовать принципы наименьших привилегий для процессов сборки и CI/CD;
  • изолировать и форензически исследовать подозрительные хосты при обнаружении признаков компрометации; проводить анализ загружаемых модулей и сетевого трафика к серверам C2.

Вывод

Новый вариант XCSSET демонстрирует, что внимание злоумышленников смещается на векторы, связанные с самим процессом разработки ПО. Модульность, обновлённые загрузчики, ориентированность на браузеры и использование системных механизмов автозапуска делают угрозу опасной для команд разработки и организаций, выпускающих ПО. В условиях растущей сложности атак необходимо повышать уровень контроля над артефактами сборки, мониторить поведение рабочих станций разработчиков и использовать современные решения для обнаружения и реагирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: