JokerSpy 惡意軟體近期鎖定日本的一間加密貨幣交易所,利用開源工具與客製化後門程式進行攻擊。攻擊者在成功安裝後門程式後,進一步部署間諜軟體以蒐集受害者系統上的敏感資訊,並建立命令與控制 (C&C) 系統。針對這次攻擊事件,Jamf Protect 再次展現了其強大的防護能力,成功阻擋了這類惡意活動。
JokerSpy 攻擊手法
根據 Elastic Security Labs 和 Bitdefender 的調查,攻擊者嘗試透過建立偽造的 TCC (Transparency、Consent 及 Control) 資料庫來繞過 macOS 的安全防護。使用名為 sh.py 的 Python 後門程式,攻擊者得以在受害系統中植入命令,並藉此執行 SwiftBelt—a 一個專為紅隊演練設計的 macOS 偵查工具,進一步深入探測系統的弱點與敏感資料。
Jamf Protect 的應對措施
自 JokerSpy 被發現以來,Jamf Threat Labs 已迅速採取行動,透過 Jamf Protect 持續追蹤並封鎖這種新型惡意軟體。Jamf Protect 採用行為分析和自訂規則來辨識並阻擋惡意軟體的活動,特別是針對 SwiftBelt 這類開源工具的濫用,Jamf Protect 已經建立了有效的防禦機制。
此外,Jamf Protect 持續更新其自訂威脅防護規則,確保能即時防範 JokerSpy 等新型惡意軟體。這表現了 Jamf 在 Apple 裝置安全防護領域的領先地位,與多平台的解決方案相比,Jamf Protect 能更快速地應對 Apple 系統上的威脅。
防禦策略與應對措施
針對 JokerSpy 攻擊的具體防禦方法包括:
- 行為分析與即時回報:當攻擊者試圖建立偽造的 TCC 資料庫時,Jamf Protect 透過行為分析技術偵測異常行為並即時回報,防止惡意軟體繞過 macOS 的安全控制。
- 自訂規則阻擋:Jamf Protect 使用自訂的封鎖規則來防範 JokerSpy 的惡意活動,並持續更新以應對變化中的威脅。
入侵指標 (IOC) 和惡意網址
根據 Elastic Security Labs 和 Bitdefender 的報告,以下是針對 JokerSpy 攻擊的入侵指標 (IOC) 和相關惡意網址:
- SHA1 Hashes:
- 937a9811b3e5482eb8f96832454723d59229f945
- c7d6ede0f6ac9f060ae53bb1db40a4fbe96f9ceb
- bd8626420ecfd1ab5f4576d83be35edecd8fa70e
- 370a0bb4177eeebb2a75651a8addb0477b7d610b
- 1ed2c5ee95ab77f8e1c1f5e2bd246589526c6362
- 76b790eb3bed4a625250b961a5dda86ca5cd3a11
- 1f99081affd7bef83d44e0072eb860d515893698
- 惡意網址:
- git-hub[.]me
- app[.]influmarket[.]org
Jamf Protect 的卓越優勢
這次 JokerSpy 惡意軟體攻擊事件進一步證明了 Jamf Protect 的快速應對能力與專精於 Apple 裝置安全的優勢。與其他多平台安全廠商相比,Jamf Protect 能更迅速地辨識並阻擋針對 macOS 的新型威脅。此外,Jamf 的行為分析與自訂規則讓企業能夠更靈活地應對惡意軟體攻擊,提供強大且即時的安全防護。
結論
JokerSpy 惡意軟體的攻擊行為提醒我們,即使是 Apple 裝置也不免成為高價值目標,特別是在加密貨幣和其他敏感領域。Jamf Protect 已經證明了其強大的防禦能力,為 Apple 裝置用戶提供了卓越的資安保護。如果您希望瞭解如何通過 Jamf Protect 強化企業的 Apple 裝置資安防護,歡迎聯絡 珈特科技(Get Technology),我們將提供專業諮詢與解決方案。