FlexibleFerret kampány
A Jamf Threat Labs elemzése szerint a FlexibleFerret továbbra is aktív, de már kifinomultabb, stabilabb műszaki hátérrel, amely megkerüli a szabványos Apple-védelmi eszközöket, és célzottan macOS-rendszereket fertőz. Az Észak-Koreához köthető támadás egy több lépéses folyamat, amely elsőként hamis álláshirdetéseken keresztül kezdi a pszichológiai megtévesztést, az áldozat egy karrieroldalon lát fantáziát, valósnak tűnő pozícióra való jelentkezés után felvételi feladatra invitálják — majd a feladat részeként macOS-terminál parancs futtatására bíztatják. A parancs egy macpatch.sh shell-loader letöltését és futtatását indítja el, ami a második szakasz, átállítva a rendszer-architektúra szerint tölt le további payload-okat és indít el egy megbízhatónak látszó, de rosszindulatú alkalmazást.
A harmadik fázisban egy Go nyelven írt backdoor kerül telepítésre, amely tartós háttérszolgáltatásként bootoltatható és a támadónak távoli hozzáférést biztosít a fertőzött rendszerhez. Ezen backdoor ismert parancsai között fájlok letöltése-feltöltése, parancsok futtatása, böngésző-profil valamint jelszó-adatbázis kiszivárogtatása is szerepel. A kimenő adatkommunikációt a rosszindulatú program egy valós, legitimnek tűnő csatornán folytathatja, így az exfiltráció alig feltételezhető rosszindulatú tevékenységként. Az utóbbi verziókban a flexible Ferret shell-loader nem vált be a beépített Apple-eszköz, az XProtect által blokkolttá — ezzel gyakorlatilag láthatatlanná válik a rendszer számára.
Nem állami szintű elit célpontok helyett magasan képzett fejlesztők és hétköznapi munkakeresők a cél, az elkövetők célzottan Linux/macOS fejlesztőket, vagy egyszerű álláskeresőket keresnek állásokkal, így bármilyen macOS-felhasználó válhat áldozattá. A támadói módszer lényege, hogy a social engineering olyan hétköznapinak és meggyőzőnek hat, hogy áldozatot futtatható kód telepítésére ösztönöz — ezzel átlépve az olyan védelmi korlátokat, mint a Gatekeeper vagy az XProtect.
