RustBucket

พบ Malware ตัวใหม่ชื่อ RustBucket กำหนดเป้าหมายไปยังผู้ใช้ macOS 

By admin News

RustBucket มีความสามารถในการฝังตัวบน macOS โดยใช้ประโยชน์จากโครงสร้างของระบบเครือข่ายแบบ Dynamic Network เพื่อควบคุมและใช้คำสั่งรวมถึงหลีกเลี่ยงการถูกตรวจจับโดย Security Software  

RustBucket เป็นผลงานของผู้ไม่ประสงค์ดี BlueNoroff ซึ่งเป็นหนึ่งในสมาชิกของกลุ่ม Lazarus โดยเป็นหน่วยที่มีความเชี่ยวชาญในการ Hacking ที่อยู่ภายใต้การดูแลของ Reconnaissance General Bureau (RGB) ซึ่งเป็นหน่วยข่าวกรองหลักของประเทศเกาหลีเหนือ 

มัลแวร์นี้ถูกค้นพบเมื่อเดือนเมษายน พ.ศ. 2566 โดย Jamf Threat Labs อธิบายว่าเป็นช่องโหว่ดังกล่าวเป็น Backdoor ของ AppleScript ที่สามารถเรียกข้อมูล Payload จากเซิร์ฟเวอร์ระยะไกลได้                                 
โดย Second-stage ของ Malware ที่ถูกเขียนด้วยภาษา Swift ถูกออกแบบให้สามารถดาวน์โหลดข้อมูลจากเซิร์ฟเวอร์ Command-and-Control (C2) มาได้ โดยภาษาที่เขียนซึ่งเป็น Rust-based binary มีคุณสมบัติในการรวบรวมข้อมูล ตลอดจนดึงข้อมูลและเรียกใช้ Mach Object เพิ่มเติมหรือเรียกใช้สคริปต์เชลล์บนระบบ 

นี่เป็นครั้งแรกที่ BlueNoroff มีเป้าหมายเจาะจงเฉพาะผู้ใช้ macOS ถึงแม้ว่าต่อมาจะมีเวอร์ชัน .NET ของ
RustBucket ออกมาด้วยคุณสมบัติที่คล้ายกัน โดยการเคลื่อนไหวล่าสุดของ Bluenoroff นี้แสดงให้เห็นว่ามีการพัฒนามัลแวร์โดยใช้ภาษาที่รองรับหลายแพลตฟอร์มมากขึ้นจึงคาดการได้ว่ามีโอกาสสูงที่จะขยายขอบเขตในการโจมตีเหยื่อ 

การแพร่กระจายของมัลแวร์นี้จะประกอบด้วยไฟล์ตัวติดตั้ง macOS ที่มาพร้อมกับโปรแกรมอ่าน PDF ที่เป็นอันตรายซึ่งแฝงไปด้วย Backdoor แต่สามารถทำงานได้อย่างปกติ โดยการโจมตีจะมาในรูปแบบอีเมลฟิชชิ่ง หรือการใช้ Account ปลอมบนสังคมออนไลน์ ซึ่งจะเริ่มต้นกระบวนการโจมตีเมื่อเหยื่อเปิดใช้งานไฟล์ PDF โดยใช้โปรแกรมอ่าน PDF ที่เป็นอันตราย  

จากการสังเกตการเป้าหมายการโจมตีพบว่ามีการมุ่งเป้าไปยังสถาบันการเงินที่เกี่ยวข้องกับเอเชีย ยุโรป และสหรัฐฯ เป็นการบ่งชี้ว่าผู้ไม่ประสงค์ดีเน้นไปที่การสร้างรายได้ที่เกิดจากการโจมตี   

สิ่งที่น่าสนใจใน RustBucket คือ กลไกการฝังตัวที่ไม่ธรรมดาและการใช้ Dynamic DNS Domain (docsend.linkpc[.]net) สำหรับการควบคุมและใช้คำสั่ง
พร้อมกับความสามารถในการเลี่ยงการตรวจจับ ในตัวอย่างหนึ่งของ RustBucket นั้น
ได้ทำการฝังตัวบนเครื่องเหยื่อโดยการเพิ่มไฟล์ .plist                                                                      
ไปยัง Path: /Users/<user>/Library/LaunchAgents/com.apple.systemupdate.plist และคัดลอก    
ไบนารีของมัลแวร์ไปยัง Path: /Users/<user>/Library/Metadata/System Update 

คำแนะนำ 

  • ติดตามข่าวสารเกี่ยวกับช่องโหว่ใน macOS และแก้ไขเพื่อป้องกันการโจมตี 
  • ควรตรวจสอบไวรัสจากไฟล์ที่ดาวน์โหลดมาอย่างสม่ำเสมอ 
  • ควรตรวจสอบนามสกุลไฟล์ที่ดาวน์โหลดมาว่ามีการแอบอ้างหรือไม่ 
  • ไม่ควรเปิดอ่าน Email หรือ คลิกลิงก์ดาวโหลดที่ไม่รู้จักหรือไม่ทราบแหล่งที่มา  
  • ควรสแกนคอมพิวเตอร์ของคุณเพื่อตรวจสอบมัลแวร์และทำการลบเพื่อป้องกันการโจมตี  

อ้างอิง : https://thehackernews.com/2023/07/beware-new-rustbucket-malware-variant.html 

Share