មេរោគ NimDoor

អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញក្រុមគ្រួសារមេរោគ macOS ថ្មី និងលួចលាក់ដែលមានឈ្មោះថា NimDoor ដែលបង្កការគំរាមកំហែងយ៉ាងធ្ងន់ធ្ងរដោយសារតែបច្ចេកទេសតស៊ូកម្រិតខ្ពស់ យន្តការលួចទិន្នន័យសម្ងាត់ និងសមត្ថភាពគេចវេសដ៏ទំនើប។ យុទ្ធនាការ​ព្យាបាទ​នេះ​ត្រូវ​បាន​កំណត់​ដោយ​តួអង្គ​គំរាមកំហែង​ដែល​មាន​តម្រឹម​កូរ៉េ​ខាង​ជើង​ដែល​មាន​គោលដៅ​លើ​វិស័យ Web3 និង​រូបិយប័ណ្ណ​គ្រីបតូ។

ពួក Hacker កូរ៉េ​ខាង​ជើង​បាន​ផ្ដោត​ទៅ​លើ Nim និង macOS

តួអង្គគំរាមកំហែងដែលគេសង្ស័យថាមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង ឥឡូវនេះកំពុងប្រើប្រាស់ភាសាកម្មវិធី Nim នៅក្នុងឃ្លាំងផ្ទុកមេរោគរបស់ពួកគេ។ នេះបង្ហាញពីការវិវត្តដែលកំពុងបន្តនៅក្នុងប្រអប់ឧបករណ៍របស់ពួកគេ ជាមួយនឹងយុទ្ធនាការមុនៗដែលប្រើប្រាស់ភាសាដូចជា Go និង Rust ជាដើម។ ការប្រើប្រាស់ថ្មីរបស់ Nim បង្ហាញពីចេតនាក្នុងការច្នៃប្រឌិត ជាពិសេសក្នុងការបង្កើតការគំរាមកំហែងឆ្លងវេទិកាដែលពិបាករកឃើញ និងវិភាគ។

នៅក្នុងយុទ្ធនាការនេះ អ្នកវាយប្រហារជាពិសេសទៅតាម Web3 និងអង្គការដែលផ្តោតលើរូបិយប័ណ្ណឌីជីថល ដោយផ្តល់យោបល់អំពីប្រតិបត្តិការដែលជម្រុញផ្នែកហិរញ្ញវត្ថុដោយមានចំណាប់អារម្មណ៍ក្នុងការរំខាន ឬជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធហិរញ្ញវត្ថុឌីជីថល។

បច្ចេកទេស macOS មិនធម្មតាខ្ពស់។

អ្វីដែលធ្វើឱ្យ NimDoor ពាក់ព័ន្ធជាពិសេសគឺវិធីសាស្រ្តមិនធម្មតារបស់វាចំពោះការឆ្លងមេរោគ macOS ។ ជាពិសេសវាប្រើ៖

• ការចាក់ដំណើរការ ដែលជាបច្ចេកទេសដ៏កម្រមួយសម្រាប់មេរោគ macOS ដែលអនុញ្ញាតឱ្យមានការគំរាមកំហែងក្នុងការលួច និងរៀបចំដំណើរការស្របច្បាប់។
• បណ្តាញទំនាក់ទំនង WSS (WebSocket Secure) សម្រាប់អន្តរកម្ម C2 ដែលបានអ៊ិនគ្រីប។
• វិធីសាស្ត្រតស៊ូប្រលោមលោកដែលប្រើឧបករណ៍ដោះស្រាយសញ្ញា SIGINT និង SIGTERM ដែលអនុញ្ញាតឱ្យមេរោគដំឡើងឡើងវិញដោយខ្លួនឯងនៅពេលត្រូវបានបិទ ឬនៅពេលចាប់ផ្ដើមប្រព័ន្ធឡើងវិញ។

លក្ខណៈពិសេសទាំងនេះអាចឱ្យវារក្សាទម្រង់ទាប និងរក្សាភាពធន់នឹងការរំខានពីអ្នកប្រើប្រាស់ទូទៅ ឬការរំខានដែលផ្ដើមដោយប្រព័ន្ធ។

វិស្វកម្មសង្គម - ខ្សែសង្វាក់វាយប្រហារដោយឥន្ធនៈ

ការវាយប្រហារចាប់ផ្តើមជាមួយនឹងយុទ្ធសាស្ត្រវិស្វកម្មសង្គម៖

• ជនរងគ្រោះត្រូវបានទាក់ទងតាមរយៈវេទិកាដូចជា Telegram និងទាក់ទាញឱ្យរៀបចំកាលវិភាគការប្រជុំ Zoom ដោយប្រើ Calendly ។
• ពួកគេទទួលបានអ៊ីមែលក្លែងក្លាយជាមួយនឹងស្គ្រីបធ្វើបច្ចុប្បន្នភាព Zoom SDK ដោយសន្មតថាធានាឱ្យមានភាពឆបគ្នាជាមួយកម្មវិធីសន្និសីទវីដេអូ។

វានាំទៅដល់ការប្រតិបត្តិនៃ AppleScript ព្យាបាទ ដែលទាញយកស្គ្រីបដំណាក់កាលទីពីរពីម៉ាស៊ីនមេពីចម្ងាយ ខណៈពេលដែលបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់តំណ Zoom ស្របច្បាប់។ ស្គ្រីបដំណាក់កាលទី 2 ស្រង់ចេញប័ណ្ណសារហ្ស៊ីបដែលមាន៖

• គោលពីរសម្រាប់បង្កើតការតស៊ូ
• ស្គ្រីប Bash សម្រាប់លួចទិន្នន័យប្រព័ន្ធ

តួនាទីរបស់ InjectWithDyldArm64

នៅក្នុងបេះដូងនៃដំណើរការឆ្លងគឺកម្មវិធីផ្ទុក C ++ ដែលត្រូវបានគេស្គាល់ថា InjectWithDyldArm64 ឬជាធម្មតា InjectWithDyld ។ សមាសភាគនេះមានសារៈសំខាន់សម្រាប់ដាក់ពង្រាយមេរោគប្រកបដោយប្រសិទ្ធភាព និងដោយសម្ងាត់។ វាចាប់ផ្តើមដោយការឌិគ្រីបប្រព័ន្ធគោលពីរដែលបានបង្កប់ មួយដែលមានឈ្មោះថា 'Target' និងមួយទៀត 'trojan1_arm64'។ បន្ទាប់​ពី​ការ​ឌិគ្រីប វា​បន្ត​ដំណើរ​ការ​គោលដៅ​ក្នុង​ស្ថានភាព​ផ្អាក។ ជាមួយនឹងដំណើរការបានផ្អាក កម្មវិធីផ្ទុកនឹងបញ្ចូល trojan1_arm64 binary ចូលទៅក្នុងវា ហើយបន្ទាប់មកបន្តការប្រតិបត្តិ។ វិធីសាស្ត្រនេះអនុញ្ញាតឱ្យបញ្ជូនបន្ទុកព្យាបាទ និងធ្វើឱ្យសកម្មក្នុងលក្ខណៈលាក់លៀមខ្ពស់ ដោយឆ្លងកាត់ការការពារប្រព័ន្ធស្តង់ដារ និងកាត់បន្ថយឱកាសនៃការរកឃើញ។

ការលួចព័ត៌មានសម្ងាត់ និងការឃ្លាំមើលប្រព័ន្ធ

នៅពេលដែលសកម្ម មេរោគនឹងបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ពីចម្ងាយ ដែលអនុញ្ញាតឱ្យវាអនុវត្តប្រតិបត្តិការព្យាបាទជាច្រើន។ ទាំងនេះរួមមានការប្រមូលព័ត៌មានប្រព័ន្ធលម្អិត ប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តដែលបានចេញពីចម្ងាយ រុករកតាមថតផ្សេងៗគ្នា និងការបញ្ជូនលទ្ធផលនៃសកម្មភាពទាំងនេះត្រឡប់ទៅអ្នកវាយប្រហារវិញ។

ការគំរាមកំហែងកើនឡើងជាមួយនឹងការចូលរួមនៃសមាសភាគ trojan1_arm64 ដែលបង្កើនការវាយប្រហារដោយការទាញយកបន្ទុកពីរបន្ថែមទៀតពីហេដ្ឋារចនាសម្ព័ន្ធ C2 ។ បន្ទុកទាំងនេះត្រូវបានបង្កើតជាពិសេសដើម្បីប្រមូលព័ត៌មានរសើប។ គោលដៅចម្បងរបស់ពួកគេគឺការចូលគណនីដែលរក្សាទុកនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិតដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយ - Arc, Brave, Chrome, Edge និង Firefox ក៏ដូចជាទិន្នន័យអ្នកប្រើប្រាស់ពីកម្មវិធីផ្ញើសារ Telegram ។

យន្តការតស៊ូ

លើសពីសមាសធាតុចម្បងរបស់វា មេរោគក៏ដាក់ពង្រាយការប្រតិបត្តិដែលមានមូលដ្ឋានលើ Nim ដែលដំណើរការម៉ូឌុលដែលគេស្គាល់ថា CoreKitAgent ផងដែរ។ ម៉ូឌុលនេះដើរតួនាទីយ៉ាងសំខាន់ក្នុងការធានានូវភាពធន់របស់មេរោគដោយការត្រួតពិនិត្យការប៉ុនប៉ងណាមួយដើម្បីបញ្ចប់ប្រតិបត្តិការរបស់វា។ ដើម្បីរក្សាវត្តមានរបស់វា វាដំឡើងឧបករណ៍ដោះស្រាយសញ្ញាផ្ទាល់ខ្លួនសម្រាប់ SIGINT និង SIGTERM ដែលអនុញ្ញាតឱ្យវាដំណើរការឡើងវិញដោយស្វ័យប្រវត្តិ ប្រសិនបើអ្នកប្រើ ឬឧបករណ៍សុវត្ថិភាពព្យាយាមបិទវា។ យន្តការដែលភ្ជាប់មកជាមួយនេះ ពង្រឹងយ៉ាងសំខាន់នូវការតស៊ូរបស់មេរោគ។

អ្នកវាយប្រហារក៏ប្រើប្រាស់ AppleScript យ៉ាងទូលំទូលាយផងដែរ ដោយប្រើប្រាស់វាមិនត្រឹមតែក្នុងដំណាក់កាលឆ្លងមេរោគដំបូងប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងនៅទូទាំងប្រតិបត្តិការរបស់ malware សម្រាប់ការត្រួតពិនិត្យ និងត្រួតពិនិត្យជាបន្តបន្ទាប់។ តាមរយៈសមត្ថភាពសរសេរស្គ្រីបនេះ មេរោគបញ្ជូនចេញសញ្ញាតាមកាលកំណត់ជារៀងរាល់ 30 វិនាទីទៅកាន់ម៉ាស៊ីនមេ C2 ដែលមានកូដរឹង ចម្រាញ់ព័ត៌មានលម្អិតអំពីដំណើរការដែលកំពុងដំណើរការបច្ចុប្បន្ន និងអនុវត្តពាក្យបញ្ជាថ្មីដែលចេញដោយអ្នកគំរាមកំហែងពីចម្ងាយ។

ហេតុអ្វីបានជា Nim ធ្វើឱ្យ Malware កាន់តែគ្រោះថ្នាក់

ការប្រើប្រាស់ភាសាសរសេរកម្មវិធី Nim ផ្តល់អត្ថប្រយោជន៍គួរឱ្យកត់សម្គាល់ដល់អ្នកវាយប្រហារ។ សមត្ថភាពរបស់ Nim ដើម្បីប្រតិបត្តិមុខងារនៅពេលចងក្រងអនុញ្ញាតឱ្យពួកគេ៖

• បង្កប់តក្កវិជ្ជាស្មុគស្មាញដែលពិបាករកឃើញ
• រំខានលំហូរការគ្រប់គ្រងនៅក្នុងប្រព័ន្ធគោលពីរ
• ការបញ្ចូលគ្នារវាងអ្នកអភិវឌ្ឍន៍ និងកូដពេលដំណើរការ ធ្វើឱ្យការវិភាគកាន់តែពិបាក

នេះនាំទៅដល់ប្រព័ន្ធគោលពីរដែលមានលក្ខណៈតូចចង្អៀត និងដំណើរការខ្ពស់ ជាមួយនឹងការកាត់បន្ថយការមើលឃើញចំពោះម៉ាស៊ីនស្វែងរកមេរោគតាមបែបប្រពៃណី។

NimDoor គឺជាការរំលឹកយ៉ាងមុតមាំថា macOS លែងមានភាពស៊ាំទៅនឹងការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ទៀតហើយ។ ជាមួយ​នឹង​តារា​សម្ដែង​កូរ៉េ​ខាង​ជើង​ឥឡូវ​នេះ​បាន​កំណត់​គោល​ដៅ​វេទិកា​នេះ​ដោយ​ប្រើ​បច្ចេក​ទេស​វិវត្ត និង​ភាសា​កម្មវិធី​ដែល​គេ​ស្គាល់​តិច ការ​នៅ​ទទួល​បាន​ការ​ជូន​ដំណឹង​និង​ការ​ប្រុង​ប្រយ័ត្ន​គឺ​មាន​សារៈ​សំខាន់​ជាង​ពេល​ណាៗ​ទាំងអស់។