Dikkat !!! Apple ve IOS hackleniyor !!!

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.

"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.

SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .

Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).

Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .

Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti


Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.

Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."

SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.


Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.

Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.

XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.

Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.

"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

 

Bu arada bilmeyenler için Xcode ios dev için bir ide çeşidi Swift ve benzeri dilleri yazmada kullanılıyor ve en orospu çocu idedir pratiklik konusunda

 

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.
"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.
SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .
Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).
Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .
Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti

Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.
Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."
SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.
Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.
Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.
XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.
Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.
"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

tesekkurler

 

oruspu çocuklarına bak sen 🤬😠😡😤😤

 

++

 

Bu egshelli ben de cok kullaniyorum neoneggshell ama ben daha cok iOS 9.2.1 surumunde uzaktan kontrol saglamak icin exploiti eggshelle karisik kullaniyorum.

 

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.
"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.
SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .
Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).
Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .
Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti

Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.
Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."
SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.
Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.
Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.
XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.
Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.
"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.
"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.
SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .
Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).
Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .
Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti

Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.
Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."
SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.
Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.
Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.
XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.
Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.
"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

Senin dedigin bu xcode a backdoor olayi yillardir var aslinda daha yeni yeni duyuluyor ben de xcode projesi ile backdoor olusturmustum hatta 2017 yilinda. Github da eggshellin issues kisminda da bir adam bundan 4 yil once xcode ile egshell kullanarak backdoor yapmaya calismis bakin

Backdoor on iOS? · Issue #54 · neoneggplant/EggShell

it's works only on iOS jailbroken if I have understand correctly... But if I try to code a backdoor for iOS with Xcode with system(""), there is a warning that warn me that system is ...

github.com

 

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.
"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.
SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .
Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).
Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .
Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti

Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.
Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."
SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.
Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.
Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.
XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.
Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.
"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

Güzel konu

 

Perşembe günü siber güvenlik araştırmacıları, tehdit aktörlerinin bir arka kapı ile Apple platform geliştiricilerinden ödün vermek için Xcode'u bir saldırı vektörü olarak kullandığı ve kötü niyetli saldırılarla geliştiricileri ve araştırmacıları hedeflemeyi içeren büyüyen bir trende eklediği yeni bir saldırıyı açıkladı.
"XcodeSpy" olarak adlandırılan truva atı haline getirilmiş Xcode projesi, geliştiriciler tarafından kullanıcı etkileşimine dayalı olarak iOS sekme çubuklarını canlandırmak için kullanılan TabBarInteraction adı verilen ve GitHub'da bulunan meşru, açık kaynaklı bir projenin bozuk bir sürümüdür.
SentinelOne araştırmacıları, "XcodeSpy, geliştiricinin macOS bilgisayarına EggShell arka kapısının özel bir varyantını bir kalıcılık mekanizması ile birlikte yükleyen kötü amaçlı bir Xcode projesidir" dedi .
Xcode, macOS, iOS, iPadOS, watchOS ve tvOS için yazılım geliştirmek için kullanılan, Apple'ın macOS için entegre geliştirme ortamıdır (IDE).
Bu yılın başlarında, Google'ın Tehdit Analizi grubu , Windows sistemlerine kötü amaçlı bir DLL yüklemek için tasarlanmış bir Visual Studio projesinin paylaşılmasını gerektiren, güvenlik araştırmacılarına ve geliştiricilere yönelik bir Kuzey Kore kampanyasını ortaya çıkardı .
Uydurulmuş Xcode projesi benzer bir şey yapıyor, ancak bu sefer saldırılar Apple geliştiricilerini seçti

Orijinal kodu dahil etmenin yanı sıra, XcodeSpy ayrıca geliştiricinin oluşturma hedefi başlatıldığında yürütülen karmaşık bir Çalıştırma Komut Dosyası içerir. Komut dosyası daha sonra, kurbanın mikrofonu, kamerası ve klavyesinden bilgi kaydetme yetenekleriyle birlikte gelen, geliştirme makinesindeki EggShell arka kapısının özel bir varyantını almak için saldırgan kontrollü bir sunucuyla bağlantı kurar.
Araştırmacılar, "XcodeSpy, geliştiricilerin hedef uygulamalarının bir örneğini başlatırken özel bir kabuk komut dosyası çalıştırmalarına izin veren yerleşik bir Apple IDE özelliğinden yararlanıyor" dedi. "Tekniğin aranıp arandığında tanımlanması kolay olsa da, Komut Dosyası Çalıştır özelliğinin farkında olmayan yeni veya deneyimsiz geliştiriciler özellikle risk altındadır, çünkü konsolda veya hata ayıklayıcıda kötü amaçlı komut dosyasının çalıştırıldığını gösteren hiçbir gösterge yoktur."
SentinelOne, geçen yıl 5 Ağustos ve 13 Ekim tarihlerinde Japonya'dan VirusTotal'a yüklenen örneklerle EggShell yükünün iki çeşidini belirlediğini söyledi. Ek ipuçları, Temmuz ve Ekim 2020 arasında bu kampanyayı kullanarak hedeflendiği ve Asya'daki diğer geliştiricilerin de hedefleneceği söylenen, isimsiz bir ABD kuruluşuna işaret ediyor.
Düşmanlar , geliştiricilerin bilgisi olmadan virüslü Xcode ile derlenen iOS uygulamalarına kötü amaçlı kod enjekte etmek için önceden bozuk Xcode yürütülebilir dosyalarına (diğer adıyla XCodeGhost ) başvurdular ve daha sonra virüslü uygulamaları, indirilip yüklendikten sonra cihazlardan bilgi toplamak için kullandılar. Uygulama mağazası.
Ardından Ağustos 2020'de, Trend Micro araştırmacıları, geliştirildikten sonra kimlik bilgilerini çalmak, ekran görüntülerini yakalamak, mesajlaşma ve not alma uygulamalarından gelen hassas verileri almak için XCSSET adlı bir mac kötü amaçlı yazılım yüklemek üzere yapılandırılan, değiştirilmiş Xcode projeleri aracılığıyla yayılan benzer bir tehdidi ortaya çıkardı . ve hatta fidye için dosyaları şifreleyin.
XCSSET gibi, XcodeSpy daha kolay bir yol izliyor, çünkü amaç geliştiricilere saldırmak gibi görünüyor, ancak sömürünün arkasındaki nihai amaç ve arkasındaki grubun kimliği henüz belirsizliğini koruyor.
Araştırmacılar, "Yazılım geliştiricileri hedeflemek, başarılı bir tedarik zinciri saldırısının ilk adımıdır. Bunu yapmanın bir yolu, bu işi gerçekleştirmek için gerekli olan geliştirme araçlarını kötüye kullanmaktır" dedi.
"XcodeSpy'ın belirli bir geliştiriciyi veya geliştirici grubunu hedef almış olması tamamen mümkündür, ancak bu kadar yüksek değerli kurbanların olduğu başka olası senaryolar da vardır. Saldırganlar, basitçe ilginç hedefler arıyor ve gelecekteki kampanyalar için veri topluyor olabilirler. geçerli Apple Developer kod imzalarına sahip kötü amaçlı yazılım kullanan diğer kampanyalarda kullanılmak üzere AppleID kimlik bilgilerini toplamaya çalışıyor olabilir. "​

Sağol