Hidden Risk Malware
យុទ្ធនាការថ្មីមួយដោយក្រុមគម្រាមកំហែងរបស់កូរ៉េខាងជើង BlueNoroff កំពុងផ្តោតលើអាជីវកម្មរូបិយប័ណ្ណគ្រីបតូ ដោយប្រើមេរោគពហុដំណាក់កាលដ៏ទំនើបដែលផ្តោតលើប្រព័ន្ធ macOS ។ ត្រូវបានគេដាក់ឈ្មោះថា ហានិភ័យដែលលាក់ដោយអ្នកស្រាវជ្រាវ យុទ្ធនាការនេះទាក់ទាញជនរងគ្រោះជាមួយនឹងអ៊ីមែលដែលមានព័ត៌មានប្រឌិតអំពីការវិវត្តថ្មីៗនៅក្នុងទីផ្សាររូបិយប័ណ្ណគ្រីបតូ។ មេរោគដែលជាប់ពាក់ព័ន្ធក្នុងការវាយប្រហារទាំងនេះប្រើបច្ចេកទេសតស៊ូប្រកបដោយភាពច្នៃប្រឌិតនៅលើ macOS ដែលត្រូវបានរចនាឡើងដើម្បីមិនអាចរកឃើញដោយការអាប់ដេតប្រព័ន្ធចុងក្រោយបង្អស់ ដោយឆ្លងកាត់ការជូនដំណឹងសុវត្ថិភាពប្រកបដោយប្រសិទ្ធភាព។
BlueNoroff គឺជាក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណេតដែលល្បីល្បាញសម្រាប់ការលួចរូបិយប័ណ្ណគ្រីបតូ ហើយបានកំណត់គោលដៅប្រព័ន្ធ macOS ពីមុន។ នៅក្នុងការវាយប្រហារកន្លងមក ពួកគេបានប្រើប្រាស់ payload ដែលគេស្គាល់ថាជា ObjCShellz ដែលអនុញ្ញាតឱ្យពួកគេបង្កើតសែលពីចម្ងាយនៅលើ Macs ដែលត្រូវបានសម្របសម្រួល។
របៀបដែលខ្សែសង្វាក់នៃការឆ្លងមេរោគ Rusk លាក់ត្រូវបានអនុវត្ត
ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងការបញ្ជូនអ៊ីមែលបន្លំដែលហាក់ដូចជាមានព័ត៌មានទាក់ទងនឹងរូបិយប័ណ្ណគ្រីបតូ ដែលជារឿយៗត្រូវបានបង្ហាញជាសារបញ្ជូនបន្តពីអ្នកមានឥទ្ធិពលរូបិយបណ្ណ័ដ៏ល្បីដើម្បីផ្តល់ភាពជឿជាក់ដល់វា។ អ៊ីមែលនេះរួមបញ្ចូលតំណភ្ជាប់ ដែលសន្មតថានាំទៅដល់ PDF ដែលមានព័ត៌មានសំខាន់ៗ ប៉ុន្តែវាពិតជាដឹកនាំជនរងគ្រោះទៅកាន់ដែនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារគឺ delphidigital.org។
អ្នកស្រាវជ្រាវបានសង្កេតឃើញថា URL បច្ចុប្បន្នមានកំណែដែលមិនបង្កគ្រោះថ្នាក់នៃឯកសារ Bitcoin ETF ជាមួយនឹងការផ្លាស់ប្តូរចំណងជើង ទោះបីជាពេលខ្លះវានាំទៅដល់ដំណាក់កាលដំបូងនៃកញ្ចប់កម្មវិធីដែលមិនមានសុវត្ថិភាពដែលមានចំណងជើងថា ហានិភ័យដែលលាក់នៅពីក្រោយការកើនឡើងថ្មីនៃ Bitcoin Price.app ។
សម្រាប់យុទ្ធនាការនេះ តារាគំរាមកំហែងបានប្រើប្រាស់ឯកសារសិក្សាស្របច្បាប់ពីសាកលវិទ្យាល័យ Texas ជាការក្លែង ដំណាក់កាលដំបូងនៃការវាយប្រហារពាក់ព័ន្ធនឹងកម្មវិធីទម្លាក់ចុះ ហត្ថលេខា និងកំណត់ចំណាំនៅក្រោមលេខសម្គាល់អ្នកអភិវឌ្ឍន៍ Apple ដែលមានសុពលភាព 'Avantis Regtech Private Limited (2S8XHJ7948)' ដែល Apple បានដកហូតតាំងពីពេលនោះមក។
នៅពេលប្រតិបត្តិរួច អ្នកទម្លាក់ទាញយកឯកសារ PDF ក្លែងក្លាយពីតំណ Google Drive ហើយបើកវាក្នុងកម្មវិធីមើល PDF លំនាំដើម ដើម្បីកុំឱ្យជនរងគ្រោះរំខាន។ ទន្ទឹមនឹងនេះ ដំណាក់កាលបន្ទាប់នៃការវាយប្រហារត្រូវបានទាញយកដោយសម្ងាត់ពី matuaner.com ។ គួរកត់សម្គាល់ថា អ្នកវាយប្រហារបានកែប្រែឯកសារ Info.plist របស់កម្មវិធី ដើម្បីអនុញ្ញាតឱ្យមានការតភ្ជាប់ HTTP ដែលមិនមានសុវត្ថិភាពទៅកាន់ដែនរបស់ពួកគេ ដោយឆ្លងកាត់ពិធីការសុវត្ថិភាពកម្មវិធីដឹកជញ្ជូនរបស់ Apple យ៉ាងមានប្រសិទ្ធភាព។
យន្តការតស៊ូប្រលោមលោកដែលត្រូវបានកេងប្រវ័ញ្ចដោយហានិភ័យលាក់កំបាំង
បន្ទុកដំណាក់កាលទីពីរដែលមានឈ្មោះថា 'កំណើន' គឺជាប្រព័ន្ធគោលពីរ x86_64 Mach-O ដែលដំណើរការលើទាំងឧបករណ៍ Intel និង Apple Silicon ដែលបំពាក់ដោយក្របខណ្ឌត្រាប់តាម Rosetta ។ វាធានានូវភាពស្ថិតស្ថេរដោយការកែប្រែឯកសារកំណត់រចនាសម្ព័ន្ធ .zshenv ដែលលាក់នៅក្នុងថតផ្ទះរបស់អ្នកប្រើ ដែលផ្ទុកក្នុងអំឡុងពេលវគ្គ Zsh ។
ដើម្បីបញ្ជាក់ការឆ្លងដោយជោគជ័យ និងរក្សាភាពស្ថិតស្ថេរ មេរោគបង្កើត 'ឯកសារប៉ះ' ដែលលាក់នៅក្នុងថត / tmp/ ដែលជួយរក្សាការផ្ទុកសកម្មសូម្បីតែបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញឬការចូលរបស់អ្នកប្រើក៏ដោយ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យវាឆ្លងកាត់ macOS 13 និងប្រព័ន្ធរកឃើញភាពជាប់លាប់របស់ជំនាន់ក្រោយ ដែលជាធម្មតាជូនដំណឹងដល់អ្នកប្រើប្រាស់នៅពេលដែល LaunchAgents ថ្មីត្រូវបានដំឡើង។ តាមរយៈការឆ្លងប្រព័ន្ធជាមួយនឹងឯកសារ Zshenv ដែលមានគំនិតអាក្រក់ មេរោគបង្កើតទម្រង់នៃការតស៊ូកាន់តែខ្លាំង។ ទោះបីជាវិធីសាស្រ្តនេះមិនថ្មីទាំងស្រុងក៏ដោយ វាជាលើកទីមួយហើយដែលអ្នកស្រាវជ្រាវបានឃើញវាប្រើក្នុងការវាយប្រហារផ្ទាល់ដោយអ្នកនិពន្ធមេរោគ។
នៅពេលដាក់បញ្ចូលក្នុងប្រព័ន្ធ ទ្វារខាងក្រោយភ្ជាប់ទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដោយពិនិត្យមើលពាក្យបញ្ជាថ្មីរៀងរាល់ 60 វិនាទី។ ខ្សែអក្សរភ្នាក់ងារអ្នកប្រើប្រាស់ដែលខ្លួនប្រើត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវាយប្រហារពីមុនដែលត្រូវបានសន្មតថាជា BlueNoroff ក្នុងឆ្នាំ 2023។ ពាក្យបញ្ជាដែលបានសង្កេតរួមមានការទាញយក និងដំណើរការបន្ទុកបន្ថែម ដំណើរការពាក្យបញ្ជាសែលដើម្បីផ្លាស់ប្តូរ ឬលួចឯកសារ ឬបញ្ឈប់ដំណើរការទាំងមូល។
អ្នកជំនាញបានកត់សម្គាល់ថា យុទ្ធនាការហានិភ័យលាក់កំបាំងបានដំណើរការក្នុងរយៈពេល 12 ខែកន្លងមកនេះ ដោយទទួលយកវិធីសាស្រ្តបន្លំដោយផ្ទាល់ជាជាងយុទ្ធសាស្រ្ត 'ការកែលំអ' ប្រព័ន្ធផ្សព្វផ្សាយសង្គមធម្មតាដែលឃើញនៅក្នុងប្រតិបត្តិការរបស់ពួក Hacker កូរ៉េខាងជើងផ្សេងទៀត។ អ្នកស្រាវជ្រាវក៏ចង្អុលបង្ហាញពីសមត្ថភាពដែលកំពុងដំណើរការរបស់ BlueNoroff ក្នុងការធានាសុវត្ថិភាពគណនីអ្នកអភិវឌ្ឍន៍ Apple ថ្មី និងទទួលបានកំណត់ត្រានៃការបង់ប្រាក់របស់ពួកគេ ដែលអនុញ្ញាតឱ្យពួកគេឆ្លងកាត់ការការពារ macOS Gatekeeper ។
