អ្នកជំនាញព្រមានអំពី macOS Backdoor មានលាក់នៅក្នុងកម្មវិធីកំណែលួចចម្លងដែលពេញនិយម

0

កម្មវិធីលួចចម្លង (Pirated applications) បានកំណត់គោលដៅទៅលើអ្នកប្រើប្រាស់កម្មវិធី Apple macOS ត្រូវបានសង្កេតឃើញថាមានផ្ទុកនូវ Backdoor ដែលមានសមត្ថភាពអាចឱ្យអ្នកវាយប្រហារធ្វើការបញ្ជាពីចម្ងាយទៅលើម៉ាស៊ីនដែលបានឆ្លងមេរោគ។

អ្នកស្រាវជ្រាវ Threat Labs បានថ្លែងថា កម្មវិធីទាំងនេះកំពុងតែត្រូវបានបង្ហោះនៅលើគេហទំព័រលួចចម្លងរបស់ចិនដើម្បីបង្កើនក្រុមគោលដៅ។ នៅពេលធ្វើសកម្មភាព មេរោគនឹងដោនឡូត និងប្រតិបត្តិការ Payloads ចម្រុះនៅលើ Background ដើម្បីអាចលួចចូលកែ និងដំណើរការកែសម្រួល (Compromise) ដោយសម្ងាត់នៅលើម៉ាស៊ីនជនរងគ្រោះ។ ឯកសារ Backdoored Disk Image (DMG) Files ត្រូវបានកែសម្រួល (Modified) ដើម្បីទំនាក់ទំនងជាមួយរចនាសម្ព័ន្ធដែលគ្រប់គ្រងដោយហេគឃ័រ​រួមមានកម្មវិធីស្របច្បាប់ដូចជា Navicat Premium, UltraEdit, FinalShell, SecureCRT និង Microsoft Remote Desktop។

កម្មវិធី Unsigned Applications ទាំងនេះ ក្រៅពីកំពុងតែត្រូវបានបង្ហោះនៅលើគេហទំព័រចិនឈ្មោះ macyy.cn ក៏មានបញ្ចូលសមាសធាតុអាក្រក់ (Dropper Component) ឈ្មោះ “Dylib” ដែលត្រូវបានប្រតិបត្តិការទៅលើគ្រប់កម្មវិធីទាំងអស់ដែលត្រូវបានបើក (Open)។ បន្ទាប់មក Dropper ដើរតួជាអ្នកចាប់យក Backdoor (“bd.log”) ក៏ដូចជាអ្នកដោនឡូត (“fl01.log”) ពីម៉ាស៊ីនមេ (Remote Server) ដែលត្រូវបានប្រើដើម្បីរក្សាវត្តមានជាប់លាប់ និងចាប់យក payloads បន្ថែមទៀតនៅលើម៉ាស៊ីនដែលត្រូវបានកែសម្រួល។ Backdoor ត្រូវបានសរសេរនៅក្នុង path “/tmp/.test” មានមុខងារពេញលេញ និងត្រូវបានបង្កើតនៅលើ Open-Source Post Exploitation Toolkit ឈ្មោះ ​Khepri៕ តាមការពិតមេរោគBackdoor នេះត្រូវបានរក្សាទុកនៅ “\tmp” Directory ឬបានន័យថា វានឹងត្រូវបានលុបវិញនៅពេលដែលបិទប្រព័ន្ធដំណើរការ។ ចំពោះរឿងនេះ វានឹងត្រូវបានបង្កើតឡើងវិញម្តងទៀតនៅទីតាំងដដែលនៅពេលក្រោយ ឬនៅពេលកម្មវិធីលួចចម្លង (Pirated Application) ត្រូវបាន Load និង Dropper ត្រូវបានដំណើរការផងដែរ។ ម៉្យាងវិញទៀត អ្នកដោនឡូតត្រូវបានសរសេរដើម្បីលាក់ path “/users/shared/.fseventsd” តាមលំនាំដែលវាបង្កើត LauchAgent ដើម្បីធានាវត្តមាន និងផ្ញើ HTTP GET ស្នើសុំទៅកាន់ Actor-Controlled Server។ នៅពេលម៉ាស៊ីនមេមិនអាចដំណើរការបានទៀតនោះ អ្នកដោនឡូតត្រូវបានបង្កើតឡើងដើម្បីឆ្លើយតបនឹង HTTP នូវទីតាំងឯកសារថ្មីដែលមានទីតាំងនៅ /tmp/.fseventsds បន្ទាប់មកចាប់ផ្តើមដំណើរការ។

អ្នកស្រាវជ្រាវបានថ្លែងថា មេរោគចែកចាយមានភាពស្រដៀងគ្នាជាមួយនឹង ZuRu ដែលត្រូវបានសង្កេតឃើញនៅពេលមានការពង្រីកខ្លួនរបស់មេរោគកាលពីមុន តាមរយៈកម្មវិធីលួចចម្លងនៅលើគេហទំព័រចិន។ វាក៏អាចទៅរួចដែរថា មេរោគនេះគឺជាជំនាន់ក្រោយរបស់មេរោគ ZuRu ដែលវាមានគោលដៅលើកម្មវិធី (Applications) បញ្ជាក់ (Modified) Load Commands និងរចនាសម្ព័ន្ធអ្នកវាយប្រហារ (Attacker Infrastructure)៕

https://thehackernews.com/2024/01/experts-warn-of-macos-backdoor-hidden.html

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែមករា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here