มัลแวร์ RustBucket

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์รูปแบบใหม่ที่ออกแบบมาเพื่อกำหนดเป้าหมายอุปกรณ์ Apple ที่ใช้ macOS โดยเฉพาะ ซอฟต์แวร์คุกคามนี้เรียกว่า RustBucket กำลังถูกใช้งานโดยกลุ่มภัยคุกคามขั้นสูง (APT) ที่เรียกว่า BlueNoroff ซึ่งเชื่อว่าเชื่อมโยงอย่างใกล้ชิดหรืออาจเป็นกลุ่มย่อยของกลุ่ม Lazarus ที่มีชื่อเสียง

โดยเฉพาะอย่างยิ่ง ก่อนหน้านี้ BlueNoroff ได้กำหนดเป้าหมายระบบที่ใช้ Windows โดยใช้มัลแวร์ที่สามารถหลีกเลี่ยงโปรโตคอลความปลอดภัย Mark-of-the-Web มัลแวร์ macOS ที่เพิ่งค้นพบนั้นปลอมตัวเป็นแอปพลิเคชันโปรแกรมดู PDF ที่ถูกต้องซึ่งเรียกว่า 'Internal PDF Viewer' ซึ่งดูเหมือนว่าจะทำงานตามที่คาดไว้ อย่างไรก็ตาม ในความเป็นจริงแล้ว มันคือเครื่องมือร้ายกาจที่ใช้เพื่อเข้าถึงข้อมูลสำคัญบนระบบที่ถูกบุกรุกโดยไม่ได้รับอนุญาต รายละเอียดเกี่ยวกับภัยคุกคามเผยแพร่โดย Jamf ซึ่งเป็นบริษัทจัดการอุปกรณ์เคลื่อนที่

มัลแวร์ RustBucket macOS ถูกส่งมาหลายขั้นตอน

มัลแวร์ RustBucket ใช้วิธีการแบบหลายขั้นตอนในการทำให้อุปกรณ์ Mac เป้าหมายติดไวรัส ขั้นตอนแรกคือแอปพลิเคชันที่ไม่ได้ลงนามซึ่งเรียกว่า 'Internal PDF Viewer' ซึ่งเมื่อดำเนินการแล้ว จะดาวน์โหลดมัลแวร์ขั้นที่สองจากเซิร์ฟเวอร์ Command-and-Control (C2)

ขั้นตอนที่สองของมัลแวร์มีชื่อเดียวกัน - 'Internal PDF Viewer' แต่คราวนี้เป็นแอปพลิเคชันที่ลงนามซึ่งได้รับการออกแบบให้ดูเหมือน Apple Bundle Identifier ที่ถูกต้อง (com.apple.pdfViewer) และมีเฉพาะกิจ ลายเซ็น. การแบ่งมัลแวร์ออกเป็นขั้นตอนต่างๆ ทำให้ผู้คุกคามทำการวิเคราะห์ได้ยากขึ้น โดยเฉพาะอย่างยิ่งหากเซิร์ฟเวอร์ C2 ออฟไลน์

ไฟล์ PDF ที่เสียหายเป็นส่วนสุดท้ายของการติดไวรัส RustBucket

อย่างไรก็ตาม แม้ในขั้นตอนนี้ RustBucket จะไม่เปิดใช้งานความสามารถที่เป็นอันตรายใดๆ เพื่อเปิดใช้งานฟังก์ชันการทำงานจริงบนอุปกรณ์ macOS ที่ถูกละเมิดได้สำเร็จ จะต้องเปิดไฟล์ PDF เฉพาะ ไฟล์ PDF ที่เสียหายนี้ถูกปลอมแปลงเป็นเอกสารเก้าหน้าที่อ้างว่ามีข้อมูลเกี่ยวกับบริษัทร่วมทุนที่ต้องการลงทุนในสตาร์ทอัพด้านเทคนิค

ในความเป็นจริง การเปิดไฟล์จะทำให้วงจรการติดไวรัสของ RustBucket เสร็จสมบูรณ์โดยเรียกการทำงานของโทรจันขนาด 11.2 MB ที่ลงนามด้วยลายเซ็นเฉพาะกิจและเขียนด้วยภาษา Rust ภัยคุกคามโทรจันสามารถทำหน้าที่บุกรุกได้หลายอย่าง เช่น ดำเนินการสำรวจระบบโดยการรวบรวมข้อมูลพื้นฐานของระบบและรับรายการของกระบวนการที่กำลังทำงานอยู่ ภัยคุกคามยังส่งข้อมูลไปยังผู้โจมตีหากทำงานในสภาพแวดล้อมเสมือนจริง

อาชญากรไซเบอร์เริ่มปรับตัวเข้ากับระบบนิเวศของ macOS

การใช้มัลแวร์โดยผู้โจมตีทางไซเบอร์เน้นให้เห็นถึงแนวโน้มที่เพิ่มขึ้นซึ่งระบบปฏิบัติการ macOS กำลังกลายเป็นเป้าหมายของอาชญากรรมทางไซเบอร์มากขึ้นเรื่อยๆ แนวโน้มนี้ได้รับแรงหนุนจากความจริงที่ว่าอาชญากรไซเบอร์ตระหนักดีว่าพวกเขาจำเป็นต้องอัปเดตเครื่องมือและกลยุทธ์ของตนเพื่อรวมแพลตฟอร์มของ Apple ซึ่งหมายความว่าผู้ที่อาจตกเป็นเหยื่อจำนวนมากมีความเสี่ยงที่จะถูกกำหนดเป้าหมายโดยผู้โจมตีที่ปรับกลยุทธ์เพื่อใช้ประโยชน์จากช่องโหว่ของระบบ macOS