日本加密货币服务遭受攻击
重点内容
日本一家主要加密货币服务提供商受到攻击,使用了新型 JokerSpy macOS 后门。攻击者利用名为 xcc 的多架构二进制文件来监控权限,绕过苹果的安全保护。攻击者使用 Bash 执行 xcc 二进制文件,并建立自己的 TCC 数据库来规避权限。根据 The Hacker News 的报道,攻击者在本月成功入侵了一家位于日本的主要加密货币服务提供商,该公司专注于以太坊和比特币交易,具体使用了新的 JokerSpy macOS 后门。JokerSpy 工具包中包括了一个名为 xcc 的多架构二进制文件,该文件被签名为 XProtectCheck,用于监控 FullDiskAccess 和 ScreenRecording 权限,同时规避苹果的安全保护。据 Elastic Security Labs 报告,攻击者利用 Bash 在 IntelliJ IDEA、iTerm 应用程序以及 Visual Studio Code 中执行 xcc 二进制文件,接着建立了自己的 TCC 数据库以规避 TCC 权限。
攻击行为描述使用工具JokerSpy 后门及 xcc 二进制文件监控权限FullDiskAccess 和 ScreenRecording防护绕过利用苹果安全保护的漏洞实施手段Bash 脚本和多个 IDE安全研究人员指出,与其他枚举方法不同,Swiftbelt 利用 Swift 代码来避免创建命令行痕迹。值得注意的是,xcc 变体也使用了 Swift 编写。攻防技术不断演变,使得网络安全形势日益严峻。
clash节点
