7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร หน้า 2

7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร5. Trojan Applications การโจมตีที่เก็บข้อมูลแพ็คเกจสามารถทำลายและขยายวงกว้างได้: พวกมันจะถูกค้นพบและดึงดูดความสนใจอย่างมากอย่างหลีกเลี่ยงไม่ได้ ในทางตรงกันข้าม ผู้คุกคามที่ต้องการส่งมัลแวร์ไปยังเป้าหมายเฉพาะเจาะจงอย่างลับๆ อาจเลือกที่จะโทรจันแอปพลิเคชันยอดนิยม ในปี 2021 ลิงก์ผู้สนับสนุนในเสิร์ชเอ็นจิ้นของ Baidu ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่าน iTerm2 เวอร์ชันโทรจันของแอปพลิเคชันเทอร์มินัลยอดนิยม การตรวจสอบเพิ่มเติมใน OSX.Zuru ตามที่ทราบกันดีว่าพบว่าแคมเปญนี้ยังใช้ Remote Desktop ของ Microsoft เวอร์ชันโทรจันสำหรับ Mac, Navicat และ SecureCRT แอปได้รับการออกแบบร่วมกันโดยมี Developer signature ที่แตกต่างจาก Legitimate signature โดยหลักแล้วเพื่อให้แน่ใจว่าจะไม่ถูกบล็อกโดย Gatekeeper นอกเหนือจากการแทนที่ Original code signature แล้ว ผู้คุกคามยังได้แก้ไขบันเดิลของแอปพลิเคชันด้วย dylib ที่เป็นอันตรายในโฟลเดอร์ .app/Contents/Frameworks/ ที่เรียกว่า libcrypto.2.dylib การวิเคราะห์ไฟล์นี้เผยให้เห็นฟังก์ชันการทำงานสำหรับการสำรวจสภาพแวดล้อมในเครื่อง เข้าถึงเซิร์ฟเวอร์ C2 และดำเนินการคำสั่งระยะไกลผ่านแบ็คดอร์ การเลือกแอพที่ถูกโทรจันนั้นน่าสนใจและชี้ให้เห็นว่าผู้คุกคามกำลังกำหนดเป้าหมายผู้ใช้แบ็คเอนด์ของเครื่องมือที่ใช้สำหรับการเชื่อมต่อระยะไกลและการจัดการฐานข้อมูลธุรกิจ…

7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร

7 วิธีที่ผู้คุกคามส่งมัลแวร์ ใช้โจมตี macOS ในองค์กร การตรวจสอบมัลแวร์ macOS ในปี 2022 ของเราเผยให้เห็นว่าภัยคุกคามที่ธุรกิจและผู้ใช้ที่ใช้ macOS endpoints เผชิญอยู่ รวมถึงการเพิ่มขึ้นของ backdoor และกรอบการโจมตี cross-platform ภัยคุกคามอย่าง CrateDepression และ PyMafka ใช้การพิมพ์โจมตีที่เก็บข้อมูลแพ็คเกจเพื่อแพร่เชื้อใส่ผู้ใช้ ในขณะที่ ChromeLoader และอื่น ๆ เช่น oRAT ใช้ประโยชน์จากการโฆษณาที่ไม่เหมาะสมเป็นสื่อในการแพร่ระบาด อย่างไรก็ตาม ยังไม่ทราบเวกเตอร์การติดไวรัสที่ใช้โดยภัยคุกคามอื่นๆ ของ macOS SysJoker, OSX.Gimmick, CloudMensis, Alchimist และ Operation In(ter)ception ที่มาจาก Lazarus เป็นเพียงบางส่วนที่นักวิจัยยังไม่ทราบว่าเหยื่อถูกโจมตีอย่างไรในตอนแรก ในกรณีเหล่านี้และกรณีอื่นๆ นักวิจัยพบมัลแวร์ทั้งจากการวิเคราะห์หลังการติดหรือโดยการค้นพบตัวอย่างในคลังเก็บมัลแวร์ เช่น VirusTotal ซึ่งเส้นทางการเคลื่อนที่ของตัวอย่างจากผู้คุกคามผ่านเหยื่อไปจนถึงการค้นพบนั้นส่วนใหญ่ไม่สามารถติดตามได้ แม้ว่าช่องโหว่นี้จะป้องกันไม่ให้เราสร้างภาพรวมของแคมเปญการโจมตีใด ๆ ก็ตาม แต่โชคดีที่เราในฐานะผู้ป้องกันสามารถระบุวิธีที่เป็นไปได้ที่มัลแวร์สามารถบุกรุกระบบ macOS และวิเคราะห์ว่ามัลแวร์ใช้พาหะเหล่านี้ในอดีตอย่างไร ด้วยความรู้นี้…