Hidden Risk Malware

แคมเปญใหม่ของกลุ่มคุกคามจากเกาหลีเหนือ BlueNoroff มุ่งเน้นไปที่ธุรกิจสกุลเงินดิจิทัล โดยใช้มัลแวร์หลายขั้นตอนที่ซับซ้อนเพื่อกำหนดเป้าหมายระบบ macOS นักวิจัยเรียกแคมเปญนี้ว่า Hidden Risk โดยล่อเหยื่อด้วยอีเมลที่มีข่าวปลอมเกี่ยวกับการพัฒนาล่าสุดในตลาดสกุลเงินดิจิทัล มัลแวร์ที่เกี่ยวข้องกับการโจมตีเหล่านี้ใช้เทคนิคคงอยู่แบบสร้างสรรค์บน macOS ซึ่งออกแบบมาเพื่อไม่ให้ถูกตรวจพบโดยการอัปเดตระบบล่าสุด ทำให้สามารถหลีกเลี่ยงการแจ้งเตือนด้านความปลอดภัยได้อย่างมีประสิทธิภาพ

BlueNoroff เป็นกลุ่มอาชญากรไซเบอร์ที่โด่งดังในเรื่องการขโมยสกุลเงินดิจิทัล และเคยโจมตีระบบ macOS มาแล้ว ในการโจมตีครั้งก่อน พวกเขาใช้เพย์โหลดที่รู้จักกันในชื่อ ObjCShellz ซึ่งทำให้พวกเขาสามารถตั้งค่าเชลล์ระยะไกลบน Mac ที่ถูกบุกรุกได้

ห่วงโซ่การติดเชื้อรัสก์ที่ซ่อนอยู่เกิดขึ้นได้อย่างไร

การโจมตีเริ่มต้นด้วยการส่งอีเมลฟิชชิ่งที่ดูเหมือนจะมีข่าวเกี่ยวกับสกุลเงินดิจิทัล โดยมักจะนำเสนอในรูปแบบข้อความที่ส่งต่อจากผู้มีอิทธิพลด้านสกุลเงินดิจิทัลที่มีชื่อเสียง เพื่อสร้างความน่าเชื่อถือ อีเมลดังกล่าวมีลิงก์ที่คาดว่าจะนำไปยัง PDF ที่มีข้อมูลสำคัญ แต่จริงๆ แล้วกลับนำเหยื่อไปยังโดเมนที่ผู้โจมตีควบคุม ซึ่งก็คือ delphidigital.org

นักวิจัยได้สังเกตเห็นว่า URL ดังกล่าวเป็นโฮสต์ของเอกสาร Bitcoin ETF ในเวอร์ชันที่ไม่เป็นอันตรายโดยมีชื่อที่เปลี่ยนแปลงไป แม้ว่าบางครั้งจะนำไปสู่ขั้นตอนแรกของชุดแอปพลิเคชันที่ไม่ปลอดภัยที่มีชื่อว่า ความเสี่ยงที่ซ่อนอยู่เบื้องหลังการพุ่งสูงใหม่ของราคา Bitcoin.app ก็ตาม

สำหรับแคมเปญนี้ ผู้ก่อภัยคุกคามใช้เอกสารวิชาการที่ถูกต้องตามกฎหมายจากมหาวิทยาลัยเท็กซัสเพื่ออำพรางตัว ขั้นตอนแรกของการโจมตีเกี่ยวข้องกับแอปพลิเคชันดรอปเปอร์ที่ลงนามและรับรองโดย Apple Developer ID ที่ถูกต้องคือ 'Avantis Regtech Private Limited (2S8XHJ7948)' ซึ่ง Apple ได้เพิกถอนไปแล้ว

เมื่อดำเนินการแล้ว Dropper จะดาวน์โหลด PDF ปลอมจากลิงก์ Google Drive และเปิดในโปรแกรมอ่าน PDF เริ่มต้นเพื่อให้เหยื่อไม่เสียสมาธิ ในขณะเดียวกัน ขั้นตอนต่อไปของการโจมตีจะดาวน์โหลดแบบลับๆ จาก matuaner.com สิ่งที่น่าสังเกตคือ ผู้โจมตีได้แก้ไขไฟล์ Info.plist ของแอปเพื่ออนุญาตให้เชื่อมต่อ HTTP ที่ไม่ปลอดภัยกับโดเมนของพวกเขา ซึ่งหลีกเลี่ยงโปรโตคอล App Transport Security ของ Apple ได้อย่างมีประสิทธิภาพ

กลไกการคงอยู่แบบใหม่ที่ถูกใช้ประโยชน์โดยความเสี่ยงที่ซ่อนเร้น

เพย์โหลดขั้นที่สองที่มีชื่อว่า 'growth' เป็นไบนารี x86_64 Mach-O ที่ทำงานบนอุปกรณ์ Intel และ Apple Silicon ที่ติดตั้งเฟรมเวิร์กจำลอง Rosetta โดยเพย์โหลดนี้รับประกันความคงอยู่โดยการแก้ไขไฟล์กำหนดค่า .zshenv ที่ซ่อนอยู่ในไดเร็กทอรีโฮมของผู้ใช้ ซึ่งจะโหลดระหว่างเซสชัน Zsh

เพื่อยืนยันการติดไวรัสสำเร็จและรักษาการคงอยู่ มัลแวร์จะสร้าง "ไฟล์สัมผัส" ที่ซ่อนอยู่ในไดเร็กทอรี /tmp/ ซึ่งช่วยให้เพย์โหลดยังคงทำงานอยู่แม้หลังจากรีบูตหรือผู้ใช้เข้าสู่ระบบ เทคนิคนี้ช่วยให้มัลแวร์สามารถข้ามระบบตรวจจับการคงอยู่ของ macOS 13 และรุ่นที่ใหม่กว่า ซึ่งโดยปกติจะแจ้งเตือนผู้ใช้เมื่อมีการติดตั้ง LaunchAgents ใหม่ มัลแวร์จะสร้างรูปแบบการคงอยู่ที่แข็งแกร่งขึ้นโดยการแพร่ระบาดระบบด้วยไฟล์ Zshenv ที่เป็นอันตราย แม้ว่าวิธีนี้จะไม่ใช่เรื่องใหม่โดยสิ้นเชิง แต่เป็นครั้งแรกที่นักวิจัยพบว่าวิธีนี้ถูกนำไปใช้ในการโจมตีสดโดยผู้สร้างมัลแวร์

เมื่อเจาะระบบแล้ว แบ็คดอร์จะเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อตรวจสอบคำสั่งใหม่ทุก ๆ 60 วินาที สตริงตัวแทนผู้ใช้ที่ใช้มีความเกี่ยวข้องกับการโจมตีก่อนหน้านี้ที่เชื่อว่าเกิดจาก BlueNoroff ในปี 2023 คำสั่งที่สังเกตพบ ได้แก่ การดาวน์โหลดและดำเนินการเพย์โหลดเพิ่มเติม การเรียกใช้คำสั่งเชลล์เพื่อแก้ไขหรือขโมยไฟล์ หรือการหยุดกระบวนการทั้งหมด

ผู้เชี่ยวชาญสังเกตว่าแคมเปญ Hidden Risk ได้ดำเนินการอย่างต่อเนื่องในช่วง 12 เดือนที่ผ่านมา โดยใช้วิธีการฟิชชิ่งโดยตรงมากกว่ากลยุทธ์ "หลอกลวง" ทางโซเชียลมีเดียแบบทั่วไปที่พบเห็นได้ในการปฏิบัติการของแฮกเกอร์ชาวเกาหลีเหนืออื่นๆ นักวิจัยยังชี้ให้เห็นถึงความสามารถอย่างต่อเนื่องของ BlueNoroff ในการรักษาความปลอดภัยให้กับบัญชีนักพัฒนา Apple ใหม่และรับรองเพย์โหลดของพวกเขา ซึ่งช่วยให้พวกเขาสามารถหลีกเลี่ยงการป้องกันของ macOS Gatekeeper ได้