มัลแวร์ตัวใหม่จากเกาหลีเหนือ มุ่งโจมตีผู้ใช้งาน macOS ผ่านอัปเดต Zoom ปลอม

macOS นั้นในช่วงระยะเวลาหนึ่งเคยได้ถูกกล่าวขานว่าเป็นหนึ่งในระบบปฏิบัติการที่แข็งแกร่ง ติดมัลแวร์ได้ยาก หรือแทบไม่ได้เลย แต่ในปัจจุบัน ความจริงข้อนี้อาจจะเริ่มไม่เป็นไปตามที่เคยเป็นในอดีตแล้ว จากพัฒนาการของแฮกเกอร์ และมัลแวร์ที่ไปไกลมากกว่าที่ผ่านมา

จากรายงานโดยเว็บไซต์ Security Week ได้กล่าวถึงการตรวจพบมัลแวร์ที่มุ่งเน้นการโจมตีระบบปฏิบัติการ macOS ที่มีชื่อว่า NimDoor ซึ่งมัลแวร์ตัวนี้นั้นเป็นฝีมือของกลุ่มแฮกเกอร์จากประเทศเกาหลีเหนือที่มีชื่อว่า BlueNoroff ซึ่งทำการแพร่กระจายในการปลอมตัวเป็นผู้ที่อยู่ในรายชื่อผู้ติดต่อที่ได้รับความเชื่อถือ (Trusted Contact) ในรายชื่อผู้ติดต่อ (Contact) ของเหยื่อเป้าหมาย โดยแฮกเกอร์จะเข้าหาเหยื่อผ่านทางแอปพลิเคชันแชท Telegram ชักชวนให้เหยื่อทำการนัดหมายเพื่อพูดคุยกับแฮกเกอร์ผ่านทางเว็บไซต์ Calendry ซึ่งเป็นเว็บไซต์สำหรับนัดเวลาในการพบปะเพื่อพูดคุย หรือ สัมภาษณ์ ซึ่งแฮกเกอร์จะทำการมุ่งเป้าไปยังกลุ่มพนักงานที่ทำงานเกี่ยวข้องกับคริปโตเคอร์เรนซี และ Web3 เป็นหลัก

หลังจากที่ทำการนัดหมายเป็นที่เรียบร้อยแล้ว แฮกเกอร์จะทำการส่งอีเมลไปยังเหยื่อ ซึ่งภายในอีเมลนั้นจะประกอบด้วยลิงก์สำหรับเข้า Zoom Meeting ซึ่งแฮกเกอร์จะล่อลวงให้เหยื่อทำการรันสคริปท์ที่อ้างว่าเป็นการอัปเดต ZoomSDK ซึ่งหลังจากที่รันสคริปท์ดังกล่าวเป็นที่เรียบร้อยแล้ว ตัวสคริปท์จะนำไปสู่การติดตั้งมัลแวร์ ในรูปแบบของการติดตั้งแบบหลายชั้น (Multi-Stage Infections) ที่จะนำไปสู่การติดตั้งมัลแวร์ NimDoor ในท้ายที่สุด โดยมัลแวร์ตัวนี้นั้นจะเป็นมัลแวร์สำหรับการเปิดประตูหลังของระบบ (Backdoor) ซึ่งจะเป็นการเปิดทางให้แฮกเกอร์เข้าทำการควบคุม หรือกระทำการใด ๆ บนระบบของเหยื่อได้

ในทางเทคนิคนั้น ทางทีมวิจัยจาก SentinelOne บริษัทผู้พัฒนาแพลตฟอร์มด้านความปลอดภัยไซเบอร์ ได้กล่าวว่า มัลแวร์ดังกล่าวนั้นเป็นไปตามชื่อ คือ เป็นมัลแวร์ที่ถูกพัฒนาขึ้นบนพื้นฐานของภาษา Nim โดยมัลแวร์ดังกล่าวนั้นมีการใช้งาน WSS เพื่อใช้ในการยิง Process ลงบนระบบ (Process Injection) และสื่อสารทางไกลกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทั้งยังมีการใช้ประโยชน์จาก Signal Handlers ที่ตัวมัลแวร์กำหนดไว้เพื่อสร้างความทนทานในระบบเพื่อความมั่นใจว่าตัวมัลแวร์จะสามารถรันบนระบบได้ตลอดเวลา (Persistence)

ไม่เพียงเท่านั้น ทางทีมวิจัยยังเปิดเผยว่า ตัวมัลแวร์มีการใช้งาน AppleScript ในขั้นตอนการเข้าติดตั้งบนเครื่องของเหยื่อ ทั้งในส่วนของการพยายามเข้าถึงระบบ และหลังจากที่ตัวมัลแวร์เข้าครอบงำ (Compromise) ระบบเป็นที่เรียบร้อยแล้วเพื่อใช้งานเป็นฐาน (Beacon) และเป็นประตูหลังของระบบ (Backdoor) ให้แฮกเกอร์สามารถเข้าถึงเพื่อจัดการระบบได้ นอกจากนั้นยังมีการใช้สคริปท์แบบ Bash เพื่อเข้าขโมยข้อมูลบนเว็บเบราว์เซอร์, Telegram, และ Keychain แล้วส่งกลับไปยังเซิร์ฟเวอร์ C2 ของแฮกเกอร์อีกด้วย

ทางทีมวิจัยยังได้เปิดเผยอีกว่า ตัวมัลแวร์นั้นมีการใช้ไฟล์สำหรับการรัน (Binaries) แบบ Mach-O 2 ไฟล์เพื่อสร้างห่วงโซ่แห่งการจู่โจม (Chain of Attack) ที่แยกเป็นอิสระทั้ง 2 ตัว นั่นคือ

• ไฟล์ที่ถูกเขียนด้วยภาษา C++ โดยไฟล์ตัวนี้จะใช้ในการรันสคริปท์ Bash ที่ทำหน้าที่ในการส่งออกไฟล์ข้อมูลที่ถูกขโมยบนเครื่องของเหยื่อ
• ไฟล์ที่ถูกเขียนด้วยภาษา Nim ทำหน้าที่สร้าง Persistence บนเครื่องของเหยื่อ

โดยไฟล์ที่ถูกสร้างด้วยภาษา Nim ตัวหลังนั้นจะสร้าง Persistence ด้วยการทำการดาวน์โหลดไฟล์มัลแวร์ที่ถูกเขียนขึ้นบนภาษา Nim ลงมาอีก 2 ไฟล์ นั่นคือ  ‘GoogIe LLC’ (ไฟล์ตัวจริงนั้นมีการพิมพ์หลอกตา ด้วยการใช้ตัว i พิมพ์ใหญ่ แทนตัว L แบบพิมพ์เล็กบนชื่อ) และ ‘CoreKitAgent’ ซึ่งไฟล์ ‘GoogIe LLC’ นั้นจะเทำหน้าที่เป็นเครื่องมือสำหรับการตั้งค่าต่าง ๆ แล้วทำการรันไฟล์ ‘CoreKitAgent’ ขึ้นมา โดยทั้ง 2 นั้นจะทำหน้าที่ร่วมกันในช่วยให้มัลแวร์ยังคงทำงานอยู่บนระบบได้ ด้วยการใช้ Signal Handlers ที่โค้ดบนไฟล์กำหนดไว้ เพื่อเข้าแทรกแซงสัญญาณคำสั่ง (Signal) ที่สั่งปิดการทำงานของมัลแวร์ที่ถูกส่งมาโดย SIGINT และ SIGTERM บนระบบของเหยื่อ รวมทั้งยังทำหน้าที่ในการโหลดเพื่อติดตั้งองค์ประกอบหลักของมัลแวร์ (Core Components) ถ้าเกิดถูกลบได้อีกด้วย