รายงานโดยหัวหน้าเจ้าหน้าที่ความปลอดภัยข้อมูลของ SlowMist 23pds เมื่อวันที่ 22 เมษายน ระบุว่า กลุ่มแฮกเกอร์จากเกาหลีเหนือ Lazarus Group ได้เผยแพร่ชุดเครื่องมือมัลแวร์พื้นเมืองสำหรับ macOS ชุดใหม่ “Mach-O Man” ซึ่งมุ่งเป้าไปที่อุตสาหกรรมสกุลเงินดิจิทัล (cryptocurrency) และผู้บริหารระดับสูงขององค์กรที่มีมูลค่าสูง
วิธีการโจมตีและเป้าหมาย
จากรายงานการวิเคราะห์ของ Mauro Eldritch การโจมตีครั้งนี้ใช้วิธี ClickFix โดยผู้โจมตีส่งลิงก์ที่ปลอมเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram (โดยใช้บัญชีผู้ติดต่อที่ถูกบุกรุกแล้ว) จากนั้นจะพาเป้าหมายไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Microsoft Teams หรือ Google Meet และให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ การดำเนินการนี้ทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงระบบโดยไม่ไปกระตุ้นมาตรการควบคุมความปลอดภัยแบบดั้งเดิม
ข้อมูลเป้าหมายที่เกี่ยวข้องกับการโจมตีประกอบด้วย: ข้อมูลรับรองและ Cookie ที่จัดเก็บในเบราว์เซอร์ ข้อมูลจาก macOS Keychain และข้อมูลส่วนขยายของเบราว์เซอร์ต่าง ๆ เช่น Brave, Vivaldi, Opera, Chrome, Firefox และ Safari ข้อมูลที่ถูกขโมยจะถูกเปิดเผยผ่าน Telegram Bot API รายงานระบุว่าผู้โจมตีเปิดเผยโทเค็นของบอท Telegram (ข้อผิดพลาดด้าน OPSEC) ซึ่งทำให้ความปลอดภัยเชิงปฏิบัติการของการกระทำลดลง
เป้าหมายของการโจมตีส่วนใหญ่คือผู้พัฒนา ผู้บริหาร และผู้กำหนดนโยบายในอุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรระดับสูงที่ใช้ macOS อย่างแพร่หลาย
ส่วนประกอบหลักของชุดเครื่องมือ Mach-O Man
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch ชุดเครื่องมือนี้ประกอบด้วยโมดูลหลักดังต่อไปนี้:
teamsSDK.bin: ตัวฝังเริ่มต้น ปลอมตัวเป็น Teams, Zoom, Google หรือแอประบบ และทำการตรวจระบุลายนิ้วมือของระบบพื้นฐาน
D1{สตริงแบบสุ่ม}.bin: ตัววิเคราะห์ระบบ รวบรวมชื่อโฮสต์ ประเภท CPU ข้อมูลระบบปฏิบัติการ และรายการส่วนขยายของเบราว์เซอร์ แล้วส่งไปยังเซิร์ฟเวอร์ C2
minst2.bin: โมดูลสำหรับความคงอยู่ (persistence) สร้างไดเรกทอรีปลอม “Antivirus Service” และ LaunchAgent เพื่อให้แน่ใจว่าจะทำงานต่อเนื่องทุกครั้งหลังเข้าสู่ระบบ
macrasv2: ตัวขโมยขั้นสุดท้าย รวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และรายการใน macOS Keychain หลังจากนั้นทำการแพ็กแล้วเปิดเผยผ่าน Telegram และลบตัวเองทิ้ง
สรุปตัวบ่งชี้การบุกรุกที่สำคัญ (IOC)
จาก IOC ที่เผยแพร่ในรายงานของ Mauro Eldritch:
IP ที่เป็นอันตราย: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
โดเมนที่เป็นอันตราย: update-teams[.]live / livemicrosft[.]com
ไฟล์สำคัญ (บางส่วน): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
พอร์ตการสื่อสาร C2: 8888 และ 9999; ใช้ลักษณะสตริง User-Agent ของ Go HTTP เป็นหลัก
ดูแฮชแบบเต็มทั้งหมดและเมทริกซ์ ATT&CK ได้ในรายงานวิจัยดั้งเดิมของ Mauro Eldritch
คำถามที่พบบ่อย
“Mach-O Man” ชุดเครื่องมือนี้กำหนดเป้าหมายอุตสาหกรรมและเป้าหมายใดบ้าง?
ตามคำเตือนของ SlowMist 23pds และงานวิจัยของ BCA LTD “Mach-O Man” มุ่งเป้าไปที่อุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรที่มีมูลค่าสูงซึ่งใช้ macOS อย่างแพร่หลาย โดยเฉพาะกลุ่มนักพัฒนา ผู้บริหาร และผู้ตัดสินใจ
ผู้โจมตีชักจูงผู้ใช้ macOS ให้รันคำสั่งที่เป็นอันตรายได้อย่างไร?
จากการวิเคราะห์ของ Mauro Eldritch ผู้โจมตีส่งลิงก์ที่แอบอ้างเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram จากนั้นจะพาผู้ใช้ไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Teams หรือ Google Meet และกระตุ้นให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ ซึ่งทำให้เกิดการติดตั้งมัลแวร์
“Mach-O Man” ทำการรั่วไหลของข้อมูลได้อย่างไร?
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch โมดูลสุดท้าย macrasv2 จะรวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และข้อมูลจาก macOS Keychain จากนั้นแพ็กข้อมูลและเปิดเผยผ่าน Telegram Bot API พร้อมทั้งผู้โจมตีใช้สคริปต์ที่ลบตัวเองเพื่อเคลียร์ร่องรอยในระบบทิ้ง
