มัลแวร์ NimDoor
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ macOS สายพันธุ์ใหม่ที่ซ่อนเร้นได้ชื่อว่า NimDoor ซึ่งเป็นภัยคุกคามร้ายแรงเนื่องจากเทคนิคการรักษาความต่อเนื่องขั้นสูง กลไกการขโมยข้อมูลแบบซ่อนเร้น และความสามารถในการหลบเลี่ยงที่ซับซ้อน แคมเปญอันตรายนี้มาจากผู้ก่อภัยคุกคามที่สนับสนุนเกาหลีเหนือซึ่งตั้งเป้าไปที่กลุ่ม Web3 และสกุลเงินดิจิทัล
สารบัญ
แฮกเกอร์เกาหลีเหนือเปลี่ยนใจไปใช้ Nim และ macOS
ผู้ก่ออาชญากรรมที่ต้องสงสัยว่ามีความเชื่อมโยงกับเกาหลีเหนือกำลังใช้ภาษาโปรแกรม Nim ในคลังอาวุธมัลแวร์ของตน ซึ่งถือเป็นวิวัฒนาการอย่างต่อเนื่องของชุดเครื่องมือของพวกเขา โดยแคมเปญก่อนหน้านี้ใช้ภาษาเช่น Go และ Rust การใช้ Nim ใหม่นี้แสดงให้เห็นถึงความตั้งใจที่จะสร้างสรรค์สิ่งใหม่ โดยเฉพาะในการสร้างภัยคุกคามข้ามแพลตฟอร์มที่ตรวจจับและวิเคราะห์ได้ยาก
ในแคมเปญนี้ ผู้โจมตีจะมุ่งเป้าไปที่องค์กรที่เน้น Web3 และสกุลเงินดิจิทัลโดยเฉพาะ โดยแนะว่าเป็นปฏิบัติการที่มีแรงจูงใจทางการเงินและมีความสนใจในการทำลายหรือแทรกซึมโครงสร้างพื้นฐานทางการเงินดิจิทัล
เทคนิค macOS ที่ไม่ธรรมดาอย่างยิ่ง
สิ่งที่ทำให้ NimDoor เป็นที่กังวลเป็นพิเศษคือแนวทางที่ไม่ธรรมดาในการรับมือกับการติดเชื้อ macOS โดยเฉพาะอย่างยิ่ง NimDoor ใช้:
- การแทรกกระบวนการ ซึ่งเป็นเทคนิคที่หายากสำหรับมัลแวร์ macOS ช่วยให้ภัยคุกคามเข้ามาควบคุมและจัดการกระบวนการที่ถูกต้องตามกฎหมายได้
- ช่องทางการสื่อสาร WSS (WebSocket Secure) สำหรับการโต้ตอบ C2 ที่เข้ารหัส
- วิธีการคงอยู่แบบใหม่ซึ่งใช้ประโยชน์จากตัวจัดการสัญญาณ SIGINT และ SIGTERM ช่วยให้มัลแวร์สามารถติดตั้งตัวเองใหม่ได้เมื่อสิ้นสุดการทำงานหรือเมื่อระบบรีบูต
คุณลักษณะเหล่านี้ช่วยให้สามารถรักษาโปรไฟล์ต่ำและยังคงมีความยืดหยุ่นต่อการหยุดชะงักที่เกิดจากผู้ใช้ทั่วไปหรือระบบ
ห่วงโซ่การโจมตีที่ขับเคลื่อนด้วยวิศวกรรมสังคม
การโจมตีเริ่มต้นด้วยกลยุทธ์ทางวิศวกรรมทางสังคม:
- เหยื่อจะถูกติดต่อผ่านแพลตฟอร์ม เช่น Telegram และหลอกล่อให้กำหนดเวลาประชุม Zoom โดยใช้ Calendly
- พวกเขาได้รับอีเมลปลอมพร้อมสคริปต์อัปเดต Zoom SDK โดยอ้างว่าเพื่อให้แน่ใจว่าสามารถใช้งานร่วมกับซอฟต์แวร์วิดีโอคอนเฟอเรนซ์ได้
การกระทำดังกล่าวจะนำไปสู่การเรียกใช้งาน AppleScript ที่เป็นอันตราย ซึ่งจะทำการดาวน์โหลดสคริปต์ขั้นที่สองจากเซิร์ฟเวอร์ระยะไกลในขณะที่เปลี่ยนเส้นทางผู้ใช้ไปยังลิงก์ Zoom ที่ถูกต้อง สคริปต์ขั้นที่สองจะแยกไฟล์ ZIP ที่ประกอบด้วย:
- ไบนารีสำหรับการสร้างความคงอยู่
- สคริปต์ Bash สำหรับการขโมยข้อมูลระบบ
บทบาทของ InjectWithDyldArm64
หัวใจสำคัญของกระบวนการติดเชื้อคือตัวโหลด C++ ที่เรียกว่า InjectWithDyldArm64 หรือเรียกสั้นๆ ว่า InjectWithDyld ส่วนประกอบนี้มีความสำคัญอย่างยิ่งในการติดตั้งมัลแวร์อย่างมีประสิทธิภาพและซ่อนเร้น โดยเริ่มต้นด้วยการถอดรหัสไบนารีที่ฝังไว้ 2 ชุด ชุดหนึ่งมีชื่อว่า 'Target' และอีกชุดหนึ่งมีชื่อว่า 'trojan1_arm64' หลังจากถอดรหัสแล้ว ส่วนประกอบจะดำเนินการเปิดกระบวนการ Target ในสถานะระงับ เมื่อหยุดกระบวนการแล้ว ตัวโหลดจะฉีดไบนารี trojan1_arm64 เข้าไปในตัวโหลดแล้วจึงเริ่มดำเนินการต่อ วิธีนี้ช่วยให้สามารถส่งมอบและเปิดใช้งานเพย์โหลดที่เป็นอันตรายได้อย่างแนบเนียน โดยหลีกเลี่ยงการป้องกันระบบมาตรฐานและลดโอกาสในการถูกตรวจจับ
การโจรกรรมข้อมูลประจำตัวและการเฝ้าระวังระบบ
เมื่อเปิดใช้งานแล้ว มัลแวร์จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ระยะไกล ทำให้สามารถดำเนินการอันตรายต่างๆ ได้หลายอย่าง ซึ่งได้แก่ การรวบรวมข้อมูลระบบโดยละเอียด การดำเนินการคำสั่งแบบสุ่มที่ออกโดยระยะไกล การนำทางผ่านไดเรกทอรีต่างๆ และส่งผลการดำเนินการเหล่านี้กลับไปยังผู้โจมตี
ภัยคุกคามทวีความรุนแรงขึ้นเมื่อมีส่วนประกอบของ trojan1_arm64 เข้ามาเกี่ยวข้อง ซึ่งเพิ่มการโจมตีด้วยการดึงข้อมูลอีกสองส่วนจากโครงสร้างพื้นฐาน C2 ข้อมูลเหล่านี้ได้รับการออกแบบมาโดยเฉพาะเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน เป้าหมายหลักของข้อมูลเหล่านี้คือข้อมูลรับรองการเข้าสู่ระบบที่จัดเก็บไว้ในเว็บเบราว์เซอร์ที่ใช้กันอย่างแพร่หลาย ได้แก่ Arc, Brave, Chrome, Edge และ Firefox รวมถึงข้อมูลผู้ใช้จากแอปพลิเคชันส่งข้อความ Telegram
กลไกการคงอยู่
นอกเหนือจากส่วนประกอบหลักแล้ว มัลแวร์ยังใช้ไฟล์ปฏิบัติการที่ใช้ Nim เพื่อเปิดใช้งานโมดูลที่เรียกว่า CoreKitAgent โมดูลนี้มีบทบาทสำคัญในการรับรองความยืดหยุ่นของมัลแวร์โดยตรวจสอบความพยายามใดๆ ที่จะยุติการทำงานของมัลแวร์ เพื่อรักษาสถานะการมีอยู่ของมัลแวร์ มัลแวร์จะติดตั้งตัวจัดการสัญญาณแบบกำหนดเองสำหรับ SIGINT และ SIGTERM ซึ่งช่วยให้มัลแวร์สามารถเปิดใช้งานใหม่โดยอัตโนมัติหากผู้ใช้หรือเครื่องมือรักษาความปลอดภัยพยายามปิดระบบ กลไกในตัวนี้ช่วยเสริมความแข็งแกร่งให้กับการคงอยู่ของมัลแวร์ได้อย่างมาก
ผู้โจมตียังใช้ AppleScript อย่างกว้างขวาง โดยใช้ประโยชน์จาก AppleScript ไม่เพียงแต่ในช่วงเริ่มต้นของการติดไวรัสเท่านั้น แต่ยังรวมถึงตลอดการทำงานของมัลแวร์เพื่อเฝ้าติดตามและควบคุมอย่างต่อเนื่อง ด้วยความสามารถในการเขียนสคริปต์นี้ มัลแวร์จะส่งสัญญาณเป็นระยะทุก ๆ 30 วินาทีไปยังเซิร์ฟเวอร์ C2 ที่เข้ารหัสแบบฮาร์ดโค้ด ขโมยข้อมูลเกี่ยวกับกระบวนการที่กำลังทำงานอยู่ในปัจจุบัน และดำเนินการคำสั่งใหม่ที่ออกโดยผู้ก่อภัยคุกคามจากระยะไกล
เหตุใด Nim จึงทำให้มัลแวร์อันตรายมากขึ้น
การใช้ภาษาโปรแกรม Nim ทำให้ผู้โจมตีมีข้อได้เปรียบอย่างเห็นได้ชัด ความสามารถของ Nim ที่สามารถดำเนินการฟังก์ชันต่างๆ ในระหว่างการคอมไพล์ช่วยให้ผู้โจมตีสามารถ:
- ฝังตรรกะที่ซับซ้อนซึ่งยากต่อการตรวจจับ
- บดบังการไหลของการควบคุมภายในไบนารี
- การผสมผสานโค้ดของนักพัฒนาและรันไทม์ทำให้การวิเคราะห์ยากขึ้นอย่างมาก
ทำให้เกิดไบนารีที่กะทัดรัดและมีประสิทธิภาพสูงโดยมีการมองเห็นที่ลดลงเมื่อเทียบกับกลไกตรวจจับมัลแวร์แบบเดิม
NimDoor เป็นตัวเตือนที่ชัดเจนว่า macOS ไม่สามารถต้านทานภัยคุกคามขั้นสูงที่ต่อเนื่องได้อีกต่อไป เนื่องจากผู้ปฏิบัติการจากเกาหลีเหนือกำลังโจมตีแพลตฟอร์มนี้โดยใช้เทคนิคที่พัฒนาอย่างต่อเนื่องและภาษาโปรแกรมที่ไม่ค่อยเป็นที่รู้จัก การคอยติดตามข้อมูลและเฝ้าระวังจึงมีความสำคัญมากกว่าที่เคย
