苹果用户遭遇大规模Mac攻击,据埃森哲报道

埃森哲的网络威胁情报部门观察到,自2019年以来,暗网上针对macOS的威胁行为者增加了十倍,而且这一趋势还将继续。
苹果用户遭遇大规模Mac攻击,据埃森哲报道

苹果 Mac 电脑近年来成为了攻击者的热门目标,但在暗网上针对 macOS 的威胁行为者的数量正在以惊人的速度增长。埃森哲的威胁情报部门在周一报告了自 2019 年以来,暗网上针对 Mac 的威胁行为者增加了十倍,其中大部分发生在过去的 18 个月内。

这些发现来自埃森哲网络威胁情报(ACTI)及其暗网侦察工作。虽然威胁行为者历来都是针对 Windows 和 Linux 设备进行攻击,但 ACTI 团队观察到了一个庞大的暗网社区,其中有许多熟练的攻击者将目标转向了 Mac。

埃森哲 ACTI 的网络威胁情报顾问 Thomas “Mannie” Willkan 监控着暗网活动,他告诉 Dark Reading,威胁行为者传统上忽略了 macOS。“攻击 Windows 和 Linux 更有利可图,也更容易,但现在,他们改变了他们的范围,”Willkan 说。“我认为,部分原因是他们不断创新,试图领先于安全措施。但另一方面,也是因为现在有了一个经济动机来攻击 Mac。”

Addigy 的首席执行官 Jason Dettbarn 说,Mac 在企业中往往更容易受到攻击,因为组织没有对 Mac 施加与 Windows 设备相同的条件访问和其他策略。Addigy 提供了一个 macOS 和 iOS 管理平台。Dettbarn 说,首席信息安全官越来越多地采取主动的姿态来保护 Mac 的安全。

“数据泄露可能会发生在任何人身上,导致身份盗窃、金融欺诈和其他形式的网络犯罪。这强调了个人需要主动保护自己的数据,并了解他们可以采取哪些措施来降低风险。”F-Secure的首席顾问Tom Gaffney说。

Dettbarn说:“尽管苹果更安全,CISOs也想要采用和Windows一样的流程。”他补充说,组织在给苹果设备打补丁时,一直难以采用和更新Windows电脑一样的流程。Dettbarn特别提到了Rapid Security Response,这是苹果在2023年5月推出的一种新的软件更新方式,适用于iOS、iPadOS和macOS。

Dettbarn说:“Rapid Security Response被认为是最高级别的必要补丁,意味着你可以认为它正在被积极地利用。我认识的每一个CISO都说‘除非我们有一个公开的披露说明它是什么,否则我们不会应用一个补丁。’”

重要攻击和团体

Mac 电脑现在吸引了一些最知名的威胁行为者,包括 LockBit 3.0,ACTI 表示它正在创建针对 macOS 的特定勒索软件变种,而一些新的组织也将他们的注意力集中在利用 macOS 的漏洞上。例如,ACTI 表示,Monti 组织声称拥有一个重写的 Conti 的 EXSI 勒索软件锁定器,可以部署从 2019 年开始的 REvil 的操作员。

ACTI 观察到针对 Mac 的漏洞利用的价格高于针对 Windows PC 的漏洞利用。例如,ACTI 发现了一个威胁行为者,在 2022 年 12 月提供了 50 万美元,用于绕过 macOS Gatekeeper 或利用漏洞。

埃森哲全球网络应急和转型服务部门的总经理 Rob Boyce 指出,有越来越多的“熟练的行为者”拥有复杂的基于 macOS 的攻击工具。这个威胁行为者宣传了可以绕过 macOS Gatekeeper 的 Apple Enterprise Certificates,这已经成为“针对 macOS 的威胁行为者非常渴望的服务”,Boyce 写道。

Boyce 指出,MalwareHunterTeam 安全组织发现,LockBit 3.0 被认为正在开发针对 macOS 的勒索软件。“虽然这个版本有 bug、未完成、也不完美,但 LockBit 3.0 确实通过其地下昵称‘LockBitSupp’证实了它正在积极开发它,”Boyce 指出,并补充说,这是第一个确认的成熟的勒索软件组织,使用“定制”的勒索软件变种来攻击 macOS。

埃森哲还发现,一个与 Conti 和 REvil 勒索软件组织有联系的知名初始访问经纪人,在 2022 年购买并测试了 XLoader 恶意软件,该恶意软件可以在 macOS 中运行。埃森哲预计,针对 Mac 的威胁行为者的增长将持续到 2024 年及以后。

企业使用Mac的扩展

Mac 在工作场所的使用率增加了,这是导致攻击者有经济动机的原因之一。根据 IDC 2023 年 7 月发布的全球季度计算设备跟踪报告,Mac 在第二季度占 PC 市场的 8.6% 的份额,高于去年同期的 6.8%。

Mac 的增长也导致了更多针对 macOS 的信息窃取者、远程访问木马、加载器和零日漏洞,Willkan 说。ACTI 表示,它还观察到与初始访问经纪人和可能的数据勒索组织有关的暗网威胁行为者,声称他们已经获取了基于 macOS 的信息窃取者。

“很多私人用户和很多行业仍然有一种错误的安全感,当他们使用 Mac 时,因为他们被告知,如果你用的是 Mac,你就不会受到病毒的影响。我认为罪犯们正依赖这种观念。”

推荐阅读:

研究显示,英国人对暗网一无所知

网络黑灰产的形式

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20