macOS面临攻击:企业如何应对日益增长的威胁

本文探讨了针对macOS的针对性攻击激增现象,详细分析了深度伪造技术在社会工程学攻击中的应用,并为企业提供了加强安全意识培训和部署行为式终端防护解决方案的具体防御建议。

macOS面临攻击:企业如何应对日益增长的威胁

针对macOS用户的攻击不仅正在加剧,而且威胁行为者已被证明精通深度伪造技术。安全意识培训可能是最好的防御手段。

微软的操作系统在运行Windows的组织数量和针对它的攻击数量方面继续主导市场。与此同时,苹果macOS在组织中的使用也一直在稳步增长——最近针对Apple macOS的一系列针对性威胁表明,针对Apple设备的攻击也在上升。

将macOS视为"与其Windows对应物相比更小的目标"和"Mac不会感染病毒"的倾向继续阻碍企业防御。

“在过去的几年里,我们看到macOS成为威胁行为者更大的目标,特别是在高度复杂的国家资助攻击者方面,“Huntress在最近描述BlueNoroff针对性攻击的博客文章中写道,其中与朝鲜民主主义人民共和国(DPRK)有关的威胁行为者通过恶意的Zoom扩展和深度伪造技术入侵了一个受害组织。

考虑到最近许多针对macOS的针对性事件采用了不同形式的社会工程学,专家表示,组织需要加强安全意识培训,以帮助他们更快地识别警告信号,并采取更强的技术控制措施来防止这些攻击成功。

突然变化应引起警惕

在BlueNoroff的案例中,“意外"是主题。受害者最初通过Calendly链接设置了虚拟会议,并在最后一刻会议从Google Meet转移到Zoom时措手不及,Huntress的macOS安全研究员Stuart Ashenbrenner解释道。他警告说,会议平台的突然变化应该引起用户的警惕。

“攻击者喜欢利用不适来引导用户陷入此类事故,“Ashenbrenner说。“除了更改会议平台外,他们还基本上告诉用户下载这个’扩展’以使Zoom正常工作,以便他们可以继续会议。利用这种不适并使用户处于匆忙状态通常会导致这些事故。”

制造问题,例如声称用户的麦克风或摄像头无法工作,是使用深度伪造的攻击者常见的诱饵,Malwarebytes的恶意软件分析师和高级情报记者Pieter Arntz同意。这些问题不可避免地伴随着要求下载Zoom扩展或支持工具以解决所谓的问题。与Ashenbrenner一样,Arntz敦促用户在虚拟会议前对任何突然的平台变化保持警惕。

“对基本防御行动具有弹性”

另外,SentinelOne描述了一次同样归因于DPRK的攻击,该攻击使用了"对基本防御行动具有弹性"的恶意代码。在这种情况下,有效的防御需要超越基本的进程终止或静态检测,SentinelOne的杰出威胁研究员和研究主管Tom Hegel说,指出仅对应用程序代码进行静态扫描可能不足。

“我们建议在macOS设备上部署基于行为的端点保护——能够实时识别持久性行为、脚本滥用和可疑子进程的解决方案,“Hegel说。“强制执行应用程序控制策略也至关重要。组织应将macOS端点视为一级攻击面,特别是在开发人员或加密操作活跃的环境中。”

深度伪造、恶意软件和信息窃取器,哦我的!

使用多种策略使得防御这些攻击变得困难,Trend Micro威胁情报副总裁Jon Clay说。例如,BlueNoroff对Huntress的合作伙伴使用了深度伪造、后门恶意软件和信息窃取器。

“令人信服的社会工程部分也能够愚弄员工采取有助于攻击成功的行动,“Clay说。“组织需要考虑升级员工安全意识计划,教育他们了解这些新攻击以及针对他们使用深度伪造的情况。”

类似地,BlueNoroff利用了现有的业务流程,使攻击者显得合法,这种策略被Trend Micro的高级威胁研究员Stephen Hilt称为业务流程妥协。这种策略是"AI将允许对手在未来做更多的事情,“他说。“对这些类型攻击的认识是组织可以为主动安全做的最成功的防御。”

深度伪造需要新的验证流程

对于Malwarebytes的网络传播者Mark Stockley来说,BlueNoroff让人想起2024年对英国工程公司Arup的攻击,其中一名职员在参加了一个充满深度伪造高管的Zoom会议后被骗转账2500万美元。这两次攻击都展示了网络犯罪分子如何有效地部署人工智能(AI)。

“多年来,建议一直是,如果你收到可疑消息,那么使用第二个通信渠道来验证发件人,“Stockley说,指出对于远程工作者和分布式团队,视频会议呼叫是标准的。“在最近的Huntress案例和Arup攻击中,员工都会因为视频上几位高级人物的存在而感到安心,而在这两种情况下,他们是呼叫中唯一的真人。”

企业需要考虑额外的验证措施——尤其是在提出大额财务交易请求时。一种可能性是事先商定代码词或秘密,然后用于验证视频呼叫,Stockley说。他建议另一种是匹配基于时间的两因素认证代码。

“无论我们现在看到的是什么,都是我们将从现在开始必须处理的质量最差、成本最高的深度伪造,“他说。

基于AI的攻击将变得更加频繁,特别是随着生成式AI工具的不断改进,专家说。让用户——尤其是macOS用户——思考他们的防御是当务之急。建议包括加强安全意识培训和改变业务流程以包括通过其他渠道双重检查请求。

SentinelOne的Hegel指出了一个更广泛的趋势:与DPRK结盟的行为者正在改进他们的工具,以更好地融入macOS环境,利用新颖的加载器并针对Web3和加密等高价值行业。

“随着macOS在敏感角色中的采用率上升,攻击者显然在适应,防御者应该假设这只是一个即将到来的例子,“Hegel说。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次