นักวิจัยจาก Bitdefender พบมัลแวร์ตัวใหม่บน macOS ที่ถูกเขียนด้วยภาษา Rust ทำให้สามารถทำงานบนสถาปัตยกรรม Intel (x86_64) และ ARM (Apple Silicon) ในชื่อ “RustDoor” กำลังแพร่ระบาด โดยปลอมเป็นตัวอัปเดตของ Visual Studio เพื่อเข้าถึงระบบที่ถูกโจมตี โดยพบว่ามีการใช้โครงสร้างพื้นฐานที่เชื่อมโยงกับกลุ่ม ALPHV/BlackCat ransomware ซึ่งพบว่าได้เริ่มแคมเปญการส่ง backdoor มาตั้งแต่เดือนพฤศจิกายน 2023 จนถึงปัจจุบัน
การเชื่อมโยงกับกลุ่ม Ransomware
ในขณะที่วิเคราะห์ RustDoor นักวิจัยพบว่ามัลแวร์มีการสื่อสารกับ command and control (C2) servers ซึ่งเมื่อนำไปตรวจสอบกับข้อมูล threat intelligence พบว่ามี 3 รายการที่ถูกใช้ในการโจมตี ซึ่งอาจเชื่อมโยงกับกลุ่ม Hacker ในเครือ ALPHV/BlackCat แต่ก็ยังไม่สามารถยืนยันได้เนื่องจากหลักฐานไม่เพียงพอ รวมถึงข้อจำกัดในการเลือกโครงสร้างพื้นฐาน จึงเป็นเรื่องปกติที่กลุ่ม Hacker หลายรายจะใช้เซิร์ฟเวอร์เดียวกันในการโจมตี
แม้ว่าจะเคยมีการพบตัวเข้ารหัสสำหรับระบบ macOS เช่นตัวเข้ารหัสที่ถูกสร้างจาก LockBit ในเดือนธันวาคม 2022 สำหรับ Apple M1 แต่ทั้งนี้ก็ยังไม่พบรายงานเกี่ยวกับแรนซัมแวร์ที่โจมตีระบบปฏิบัติการของ Apple
โดยการโจมตีส่วนใหญ่กำหนดเป้าหมายไปที่ระบบ Windows และ Linux เนื่องจากสภาพแวดล้อมขององค์กรส่วนมากใช้เซิร์ฟเวอร์ที่ใช้ระบบปฏิบัติการเหล่านี้เป็นหลัก
รายละเอียดของ RustDoor
RustDoor ได้รับการเผยแพร่ในลักษณะเป็นตัวอัปเดตสำหรับ Visual Studio สำหรับ Mac และ Microsoft ซึ่งเป็นสภาพแวดล้อมการพัฒนาแบบ (IDE) สำหรับ macOS platform ซึ่งจะยุติการให้บริการในปีนี้ในวันที่ 31 สิงหาคม 2024
โดย macOS backdoor ถูกเผยแพร่ออกมาหลายชื่อ เช่น ' zshrc2,' ' Previewers,' ' VisualStudioUpdater,' ' VisualStudioUpdater_Patch,' ' VisualStudioUpdating,' ' Visualstudioupdate' และ ' DO_NOT_RUN_ChromeUpdates ' จากข้อมูลของ Bitdefender มัลแวร์ดังกล่าวถูกเผยแพร่โดยไม่ถูกตรวจพบเป็นเวลาอย่างน้อยสามเดือน
โดยมัลแวร์ดังกล่าวมี 3 เวอร์ชัน ซึ่งมาในรูปแบบ FAT binary ที่มีไฟล์ Mach-O สำหรับทั้งสถาปัตยกรรม x86_64 Intel และ ARM แต่ไม่ได้รวมอยู่ในไฟล์ทั่วไป เช่น Application Bundles หรือ Disk Image ซึ่งวิธีดังกล่าวจะช่วยทำให้ผลิตภัณฑ์รักษาความปลอดภัยตรวจพบความผิดปกติได้ยากขึ้น
ความสามารถของ Backdoor
ในรายงานนักวิจัยระบุว่า RustDoor มีคำสั่งให้ควบคุมระบบที่ถูกโจมตี และขโมยข้อมูล รวมถึงสามารถแฝงตัวในอุปกรณ์ที่โจมตีได้โดยการแก้ไข system file โดยหลังจากโจมตีและแพร่ไปในระบบแล้ว มัลแวร์จะสื่อสารกับ command and control (C2) server โดยใช้ endpoint เฉพาะสำหรับการลงทะเบียน, การดำเนินการการ และการขโมยข้อมูล
**
คำสั่งที่มัลแวร์รองรับมีดังนี้ :
**
ps แสดงรายการ process ที่ทำงานอยู่ ซึ่งมีประโยชน์สำหรับการตรวจสอบกิจกรรมของระบบ
shell ดำเนินการ shell command ทำให้ Hacker สามารถควบคุมได้โดยตรง
cd เปลี่ยน directory ปัจจุบัน ช่วยให้สามารถนำทางผ่านระบบไฟล์ได้
mkdir สร้าง directory ใหม่ ซึ่งมีประโยชน์สำหรับการจัดระเบียบข้อมูลที่ถูกขโมย หรือส่วนประกอบของมัลแวร์
rm ลบไฟล์ซึ่งอาจเป็นการลบไฟล์สำคัญ หรือลบร่องรอยของมัลแวร์
rmdir ลบ directory ไดเรกทอรี คล้ายกับ rm แต่สำหรับไดเรกทอรี
sleep หยุดการดำเนินการชั่วคราวตามเวลาที่กำหนด ซึ่งอาจเป็นการหลบเลี่ยงการตรวจจับหรือ synchronize
upload ส่งไฟล์ไปยัง remote server ซึ่งใช้สำหรับการส่งออกข้อมูลที่ถูกขโมย
botkill ยุติกระบวนการมัลแวร์อื่น ๆ ที่อยู่ในระบบ ทำให้มีทรัพยากรเหลือเพิ่มขึ้น
dialog แสดงข้อความ หรือแจ้งให้ผู้ใช้ อาจเป็น phishing หรือดำเนินการคำสั่งด้วยสิทธิ์ของผู้ใช้งาน
Taskkill สิ้นสุดกระบวนการที่ระบุ ซึ่งมีประโยชน์สำหรับการหยุดซอฟต์แวร์รักษาความปลอดภัย หรือกระบวนการอื่นที่รบกวนการทำงานของมัลแวร์
Download ดึงไฟล์จาก remote server ใช้เพื่อนำส่วนประกอบมัลแวร์เพิ่มเติมหรือการอัปเดตไปยังระบบที่ถูกโจมตี
รวมถึง backdoor ยังใช้ Cron และ LaunchAgents เพื่อกำหนดเวลาการดำเนินการตามเวลาที่กำหนดหรือเมื่อผู้ใช้งานเข้าสู่ระบบ เพื่อให้แน่ใจว่าระบบจะไม่ถูกรีบูต อีกทั้งยังแก้ไข ~/.zshrc file เพื่อดำเนินการในเซสชันเทอร์มินัลใหม่ หรือเพิ่มลงใน Dock ด้วยคำสั่งระบบ ซึ่งช่วยให้กลมกลืนกับแอปพลิเคชัน และกิจกรรมของผู้ใช้งาน
ที่มา : bleepingcomputer
You must be logged in to post a comment.