មេរោគ RustBucket
អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណទម្រង់ថ្មីនៃមេរោគដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅឧបករណ៍ Apple ដែលដំណើរការ macOS ។ កម្មវិធីគំរាមកំហែងនេះ ត្រូវបានគេស្គាល់ថាជា RustBucket កំពុងត្រូវបានប្រើប្រាស់ដោយក្រុមការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលមានឈ្មោះថា BlueNoroff ដែលត្រូវបានគេជឿថាមានទំនាក់ទំនងយ៉ាងជិតស្និទ្ធជាមួយ ឬអាចជាក្រុមរងនៃក្រុម Lazarus ដ៏ល្បីល្បាញ។
គួរកត់សម្គាល់ថា BlueNoroff ពីមុនបានកំណត់គោលដៅប្រព័ន្ធដែលមានមូលដ្ឋានលើ Windows ដោយប្រើមេរោគដែលអាចគេចផុតពីពិធីការសុវត្ថិភាព Mark-of-the-Web ។ មេរោគ macOS ដែលទើបរកឃើញថ្មីត្រូវបានក្លែងធ្វើជាកម្មវិធីមើល PDF ស្របច្បាប់ដែលមានឈ្មោះថា 'Internal PDF Viewer' ដែលហាក់ដូចជាដំណើរការដូចការរំពឹងទុក។ ទោះយ៉ាងណាក៏ដោយតាមការពិត វាគឺជាឧបករណ៍ដែលមិនចេះរីងស្ងួត ដែលប្រើដើម្បីទទួលបានការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះទិន្នន័យរសើបនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ព័ត៌មានលម្អិតអំពីការគំរាមកំហែងនេះត្រូវបានចេញផ្សាយដោយ Jamf ដែលជាក្រុមហ៊ុនគ្រប់គ្រងឧបករណ៍ចល័ត។
តារាងមាតិកា
មេរោគ RustBucket macOS Malware ត្រូវបានចែកចាយក្នុងដំណាក់កាលជាច្រើន។
មេរោគ RustBucket ប្រើវិធីសាស្រ្តពហុដំណាក់កាលដើម្បីឆ្លងឧបករណ៍ Mac គោលដៅ។ ដំណាក់កាលទី 1 គឺជាកម្មវិធីដែលមិនបានចុះហត្ថលេខាហៅថា 'Internal PDF Viewer' ដែលនៅពេលដំណើរការ ទាញយកមេរោគដំណាក់កាលទីពីរពីម៉ាស៊ីនមេ Command-and-Control (C2) ។
ដំណាក់កាលទីពីរនៃមេរោគមានឈ្មោះដូចគ្នា - 'Internal PDF Viewer' ប៉ុន្តែពេលនេះវាគឺជាកម្មវិធីដែលមានហត្ថលេខាដែលត្រូវបានរចនាឡើងដើម្បីឱ្យមើលទៅដូចជា Apple bundle identifier ស្របច្បាប់ (com.apple.pdfViewer) និងមាន ad-hoc ហត្ថលេខា។ តាមរយៈការបែងចែកមេរោគទៅជាដំណាក់កាលផ្សេងៗគ្នា តួអង្គគំរាមកំហែងធ្វើឱ្យមានការលំបាកក្នុងការវិភាគ ជាពិសេសប្រសិនបើម៉ាស៊ីនមេ C2 មិនដំណើរការអ៊ីនធឺណិត។
ឯកសារ PDF ដែលខូចគឺជាបំណែកចុងក្រោយនៃការឆ្លងមេរោគ RustBucket
ទោះយ៉ាងណាក៏ដោយ សូម្បីតែនៅដំណាក់កាលនេះ RustBucket នឹងមិនដំណើរការនូវសមត្ថភាពព្យាបាទណាមួយរបស់វាឡើយ។ ដើម្បីដំណើរការមុខងារពិតរបស់វាដោយជោគជ័យនៅលើឧបករណ៍ macOS ដែលបានបំពាន ឯកសារ PDF ជាក់លាក់ត្រូវតែបើក។ ឯកសារ PDF ដែលខូចនេះត្រូវបានក្លែងបន្លំជាឯកសារប្រាំបួនទំព័រដែលបញ្ជាក់ថាមានព័ត៌មានអំពីក្រុមហ៊ុនបណ្តាក់ទុនដែលកំពុងស្វែងរកការវិនិយោគក្នុងការចាប់ផ្តើមបច្ចេកទេស។
តាមពិត ការបើកឯកសារនឹងបញ្ចប់ខ្សែសង្វាក់ការឆ្លងមេរោគ RustBucket ដោយចាប់ផ្តើមការប្រតិបត្តិនៃ Trojan ទំហំ 11.2 MB ដែលត្រូវបានចុះហត្ថលេខាដោយហត្ថលេខា ad-hoc និងសរសេរជា Rust ផងដែរ។ ការគំរាមកំហែង Trojan អាចអនុវត្តមុខងាររំខានផ្សេងៗដូចជា អនុវត្តការឈ្លបយកការណ៍ប្រព័ន្ធ ដោយប្រមូលទិន្នន័យប្រព័ន្ធមូលដ្ឋាន និងទទួលបានបញ្ជីនៃដំណើរការដែលកំពុងដំណើរការបច្ចុប្បន្ន។ ការគំរាមកំហែងនេះក៏បញ្ជូនទិន្នន័យទៅកាន់អ្នកវាយប្រហារផងដែរ ប្រសិនបើវាដំណើរការនៅក្នុងបរិយាកាសនិម្មិត។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងចាប់ផ្តើមសម្របខ្លួនទៅនឹងប្រព័ន្ធអេកូ macOS
ការប្រើប្រាស់មេរោគដោយអ្នកវាយប្រហារតាមអ៊ីនធឺណិតបង្ហាញពីនិន្នាការកើនឡើងដែលប្រព័ន្ធប្រតិបត្តិការ macOS កាន់តែក្លាយជាគោលដៅសម្រាប់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ និន្នាការនេះត្រូវបានជំរុញដោយការពិតដែលថាឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងទទួលស្គាល់ថាពួកគេត្រូវការធ្វើបច្ចុប្បន្នភាពឧបករណ៍ និងយុទ្ធសាស្ត្ររបស់ពួកគេដើម្បីរួមបញ្ចូលវេទិកា Apple ។ នេះមានន័យថា ជនរងគ្រោះដែលមានសក្តានុពលមួយចំនួនមានហានិភ័យក្នុងការក្លាយជាគោលដៅដោយអ្នកវាយប្រហារ ដែលបានកែសម្រួលយុទ្ធសាស្ត្ររបស់ពួកគេ ដើម្បីទាញយកភាពងាយរងគ្រោះនៃប្រព័ន្ធ macOS ។
