รายงานโดยหัวหน้าเจ้าหน้าที่ความปลอดภัยข้อมูลของ SlowMist 23pds เมื่อวันที่ 22 เมษายน ระบุว่า กลุ่มแฮกเกอร์จากเกาหลีเหนือ Lazarus Group ได้เผยแพร่ชุดเครื่องมือมัลแวร์พื้นเมืองสำหรับ macOS ชุดใหม่ “Mach-O Man” ซึ่งมุ่งเป้าไปที่อุตสาหกรรมสกุลเงินดิจิทัล (cryptocurrency) และผู้บริหารระดับสูงขององค์กรที่มีมูลค่าสูง
วิธีการโจมตีและเป้าหมาย
จากรายงานการวิเคราะห์ของ Mauro Eldritch การโจมตีครั้งนี้ใช้วิธี ClickFix โดยผู้โจมตีส่งลิงก์ที่ปลอมเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram (โดยใช้บัญชีผู้ติดต่อที่ถูกบุกรุกแล้ว) จากนั้นจะพาเป้าหมายไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Microsoft Teams หรือ Google Meet และให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ การดำเนินการนี้ทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงระบบโดยไม่ไปกระตุ้นมาตรการควบคุมความปลอดภัยแบบดั้งเดิม
ข้อมูลเป้าหมายที่เกี่ยวข้องกับการโจมตีประกอบด้วย: ข้อมูลรับรองและ Cookie ที่จัดเก็บในเบราว์เซอร์ ข้อมูลจาก macOS Keychain และข้อมูลส่วนขยายของเบราว์เซอร์ต่าง ๆ เช่น Brave, Vivaldi, Opera, Chrome, Firefox และ Safari ข้อมูลที่ถูกขโมยจะถูกเปิดเผยผ่าน Telegram Bot API รายงานระบุว่าผู้โจมตีเปิดเผยโทเค็นของบอท Telegram (ข้อผิดพลาดด้าน OPSEC) ซึ่งทำให้ความปลอดภัยเชิงปฏิบัติการของการกระทำลดลง
เป้าหมายของการโจมตีส่วนใหญ่คือผู้พัฒนา ผู้บริหาร และผู้กำหนดนโยบายในอุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรระดับสูงที่ใช้ macOS อย่างแพร่หลาย
ส่วนประกอบหลักของชุดเครื่องมือ Mach-O Man
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch ชุดเครื่องมือนี้ประกอบด้วยโมดูลหลักดังต่อไปนี้:
teamsSDK.bin: ตัวฝังเริ่มต้น ปลอมตัวเป็น Teams, Zoom, Google หรือแอประบบ และทำการตรวจระบุลายนิ้วมือของระบบพื้นฐาน
D1{สตริงแบบสุ่ม}.bin: ตัววิเคราะห์ระบบ รวบรวมชื่อโฮสต์ ประเภท CPU ข้อมูลระบบปฏิบัติการ และรายการส่วนขยายของเบราว์เซอร์ แล้วส่งไปยังเซิร์ฟเวอร์ C2
minst2.bin: โมดูลสำหรับความคงอยู่ (persistence) สร้างไดเรกทอรีปลอม “Antivirus Service” และ LaunchAgent เพื่อให้แน่ใจว่าจะทำงานต่อเนื่องทุกครั้งหลังเข้าสู่ระบบ
macrasv2: ตัวขโมยขั้นสุดท้าย รวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และรายการใน macOS Keychain หลังจากนั้นทำการแพ็กแล้วเปิดเผยผ่าน Telegram และลบตัวเองทิ้ง
สรุปตัวบ่งชี้การบุกรุกที่สำคัญ (IOC)
จาก IOC ที่เผยแพร่ในรายงานของ Mauro Eldritch:
IP ที่เป็นอันตราย: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
โดเมนที่เป็นอันตราย: update-teams[.]live / livemicrosft[.]com
ไฟล์สำคัญ (บางส่วน): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
พอร์ตการสื่อสาร C2: 8888 และ 9999; ใช้ลักษณะสตริง User-Agent ของ Go HTTP เป็นหลัก
ดูแฮชแบบเต็มทั้งหมดและเมทริกซ์ ATT&CK ได้ในรายงานวิจัยดั้งเดิมของ Mauro Eldritch
คำถามที่พบบ่อย
“Mach-O Man” ชุดเครื่องมือนี้กำหนดเป้าหมายอุตสาหกรรมและเป้าหมายใดบ้าง?
ตามคำเตือนของ SlowMist 23pds และงานวิจัยของ BCA LTD “Mach-O Man” มุ่งเป้าไปที่อุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรที่มีมูลค่าสูงซึ่งใช้ macOS อย่างแพร่หลาย โดยเฉพาะกลุ่มนักพัฒนา ผู้บริหาร และผู้ตัดสินใจ
ผู้โจมตีชักจูงผู้ใช้ macOS ให้รันคำสั่งที่เป็นอันตรายได้อย่างไร?
จากการวิเคราะห์ของ Mauro Eldritch ผู้โจมตีส่งลิงก์ที่แอบอ้างเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram จากนั้นจะพาผู้ใช้ไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Teams หรือ Google Meet และกระตุ้นให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ ซึ่งทำให้เกิดการติดตั้งมัลแวร์
“Mach-O Man” ทำการรั่วไหลของข้อมูลได้อย่างไร?
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch โมดูลสุดท้าย macrasv2 จะรวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และข้อมูลจาก macOS Keychain จากนั้นแพ็กข้อมูลและเปิดเผยผ่าน Telegram Bot API พร้อมทั้งผู้โจมตีใช้สคริปต์ที่ลบตัวเองเพื่อเคลียร์ร่องรอยในระบบทิ้ง
btc.bar.articles
ZachXBT เตือนอย่าหาใช้ตู้ ATM ของ Bitcoin Depot ที่มีการบวกมาร์กอัปเกิน 44% สำหรับราคา Bitcoin
ZachXBT เตือนว่า ตู้ ATM ของ Bitcoin Depot เรียกเก็บส่วนเพิ่มสูงมาก—$25k เงินสด อยู่ที่ $108k/BTC เทียบกับ ~$75k ราคาตลาด (ประมาณ 44%) ส่งผลให้ขาดทุนราว ~ $7.5k จาก 0.232 BTC; และยังระบุถึงเหตุรั่วไหลด้านความปลอดภัยมูลค่า $3.26M อีกด้วย
บทความนี้สรุปคำเตือนของ ZachXBT เกี่ยวกับแนวปฏิบัติด้านการกำหนดราคา ของ Bitcoin Depot และเหตุละเมิดความปลอดภัยล่าสุด โดยชี้ให้เห็นถึงความเสี่ยงจากอัตราที่พองตัวและบกพร่องด้านความปลอดภัยสำหรับผู้ใช้งาน
GateNews1 ชั่วโมง ที่แล้ว
โปรโตคอลความเป็นส่วนตัว Umbra ปิดส่วนหน้าเพื่อสกัดกั้นผู้โจมตีจากการฟอกเงินที่ขโมยจาก Kelp
ข้อความ Gate News วันที่ 22 เมษายน — โปรโตคอลความเป็นส่วนตัว Umbra ได้ปิดเว็บไซต์ส่วนหน้า (frontend) เพื่อป้องกันไม่ให้นักโจมตีนำโปรโตคอลไปใช้ในการโอนเงินที่ถูกขโมย หลังจากเหตุโจมตีล่าสุด รวมถึงการรั่วไหลของโปรโตคอล Kelp ที่ส่งผลให้เกิดความสูญเสียมากกว่า $280 ล้าน ประมาณ $800,000 ของเงินที่ถูกขโมยถูกโอนผ่าน
GateNews3 ชั่วโมง ที่แล้ว
ผู้โจมตีของ Venus Protocol ย้าย 2301 ETH ไหลเข้าสู่ Tornado Cash เพื่อฟอกเงิน
ตามการติดตามของนักวิเคราะห์บนเชน Ai อาอี๋ ณ วันที่ 22 เมษายน ผู้โจมตีของ Venus Protocol ได้โอน 2,301 ETH (ประมาณ 5.32 ล้านดอลลาร์สหรัฐ) ไปยังที่อยู่ 0xa21…23A7f ก่อนหน้านี้ 11 ชั่วโมง และต่อมาก็โอนเงินเข้ากระบวนการฟอกผ่านเครื่องผสมสกุลเงินดิจิทัล Tornado Cash เป็นชุด ๆ เพื่อทำความสะอาด ณ เวลาในการติดตาม ผู้โจมตียังถือครอง ETH ประมาณ 17.45 ล้านดอลลาร์สหรัฐอยู่บนเชน
MarketWhisper6 ชั่วโมง ที่แล้ว
CometBFT เผยช่องโหว่ร้ายแรง ไวรัสสู่ระบบ 0-day มูลค่า 8 หมื่นล้านดอลลาร์สหรัฐ โหนดเครือข่ายของ Cosmos มีความเสี่ยงต่อการติดค้างแบบถาวร(deadlock)
นักวิจัยด้านความปลอดภัย Doyeon Park เปิดเผยเมื่อวันที่ 21 เมษายน ว่ามีช่องโหว่ศูนย์วันระดับความเสี่ยงสูง CVSS 7.1 อยู่ในชั้นฉันทามติของ Cosmos คือ CometBFT ซึ่งอาจทำให้โหนดถูกโจมตีโดยเพียร์ที่เป็นอันตรายในขั้นตอนการซิงก์บล็อก (BlockSync) จนเกิดภาวะค้าง (deadlock) ส่งผลกระทบต่อเครือข่ายที่คุ้มครองสินทรัพย์กว่า 8 พันล้านดอลลาร์สหรัฐ (80 億美元)
MarketWhisper6 ชั่วโมง ที่แล้ว
North Korean Lazarus Group Releases New Mach-O Man macOS Malware Targeting Crypto
Summary: Lazarus Group released a native macOS malware toolkit named Mach-O Man, aimed at crypto platforms and high-value executives; SlowMist warns users to exercise caution against attacks.
Abstract: The article reports that the Lazarus Group has unveiled Mach-O Man, a macOS-native malware toolkit aimed at cryptocurrency platforms and high-value executives. SlowMist warns users to exercise caution to mitigate potential attacks.
GateNews7 ชั่วโมง ที่แล้ว
