អញ្ញត្តិថ្មីនៃមេរោគ XCSSET macOS modular malware បានកើតឡើងនៅក្នុងការវាយប្រហារដែលមានគោលដៅលើព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់រួមទាំងកាបូបប្រាក់ឌីជីថល និងទិន្នន័យពី Notes app ស្របច្បាប់ថែមទៀត។
មេរោគនេះត្រូវបានចែកចាយតាមរយៈគម្រោង Xcode ដែលឆ្លងមេរោគ។ វាមានដំណើរការយ៉ាងហោចណាស់រយៈពេល ៥ឆ្នាំមកហើយ និងបច្ចុប្បន្នភាពនីមួយៗតំណាងឱ្យជំហាននៅក្នុងការអភិវឌ្ឍរបស់ XCSSET។ ការជំរុញនាពេលថ្មីៗនេះគឺជាការមើលឃើញលើកដំបូងនៅក្នុងឆ្នាំ២០២២។ ក្រុមស៊ើបការណ៍ការគំរាមកំហែងរបស់ក្រុមហ៊ុន Microsoft បានកំណត់សម្គាល់អញ្ញត្តិចុងក្រោយនៅក្នុងការវាយប្រហារដែលនៅមានកម្រិត និងថ្លែងថា បានប្រៀបធៀបនឹងអញ្ញត្តិ SCSSET ចាស់ ដែលមុខងារអញ្ញត្តិថ្មីបានជំរុញនូវភាពស្មុគស្មាញនៃកូដ ភាពជាប់លាប់ល្អជាងមុន និងយុទ្ធសាស្រ្តចម្លងមេរោគថ្មី។
នៅក្នុងខែឧសភា ឆ្នាំ២០២១ ក្រុមហ៊ុន Apple បានដោះស្រាយភាពងាយរងគ្រោះដែលត្រូវបានបំពានលើបញ្ហា zero-day ដោយ XCSSET បានបង្ហាញពីសមត្ថភាពរបស់អ្នកអភិវឌ្ឍមេរោគ។អញ្ញត្តិ XCSSET ថ្មីកំពុងរីករាលដាល៖ នៅថ្ងៃនេះ ក្រុមហ៊ុន Microsoft ព្រមានពីការវាយប្រហារថ្មីដែលប្រើអញ្ញត្តិមេរោគ XCSSET macOS Malware ដោយមានការជំរុញ។ ការកែប្រែទៅលើចំណុចសំខាន់ៗដែលអ្នកស្រាវជ្រាវបានប្រទះឃើញរួមមាន៖
– ភាពស្មុគស្មាញថ្មី៖ តាមរយៈតិចនិក Encode ដែលពឹងផ្អែកលើវិធីសាស្រ្ត Base64 និង xxd (hexdump) ត្រូវបានផ្លាស់ប្តូរ។ Module ដាក់ឈ្មោះនៅក្នុងកូដក៏មានភាពស្មុគស្មាញ ដែលធ្វើឱ្យកាន់តែលំបាក វិភាគពីចេតនារបស់ពួកគេ។
– តិចនិករក្សាភាពជាប់លាប់ចំនួន២ (rshrc និង dock)
– វិធីសាស្រ្តចម្លងមេរោគ Xcode ថ្មី៖ មេរោគប្រើ TARGET, RULE or FORCED_STRATEGY option ដើម្បីដាក់ Payload នៅក្នុងគម្រោង Xcode។ វាក៏អាចបញ្ចូល Payload ទៅក្នុង TARGET_DEVICE_FAMILY key នៅក្នុង Build setting និងដំណើរការវានៅដំណាក់កាលចុងក្រោយ។
សម្រាប់វិធីសាស្រ្តរក្សាភាពជាប់លាប់ zshrc អញ្ញត្តិ XCSSET ថ្មីបង្កើតឯកសារឈ្មោះ ~/.zshrc_aliases ដែលមានផ្ទុក Payload និងបន្ថែមពាក្យបញ្ជានៅក្នុង ~/.zshrc file។ តាមមធ្យោបាយនេះ ឯកសារដែលត្រូវបានបងើ្កតដាក់ចេញដំណើរការនៅពេលណាដែល Shell Session ថ្មីចាប់ផ្តើម។ សម្រាប់វិធីសាស្រ្ត dock វិញ Tool Signed dockutil ត្រូវបានដោនឡូតចេញពីម៉ាស៊ីនមេ Command-and-control (C2) របស់ហេគឃ័រសម្រាប់គ្រប់គ្រង Dock Items។
បន្ទាប់មក XCSSET បង្កើតកម្មវិធី Launchpad app ព្យាបាទជាមួយនឹង Payload និងត្រូវបានផ្លាស់ប្តូរ Path របស់កម្មវិធីស្របច្បាប់ទៅជាក្លែងក្លាយ។ ជាលទ្ធផលនៅពេល Launchpad នៅក្នុង dock ចាប់ផ្តើម ទាំងកម្មវិធីពិត និង Payload ព្យាបាទដំណើរការព្រមគ្នា។ Xcode គឺជា Toolset អភិវឌ្ឍរបស់ក្រុមហ៊ុន Apple ដែលមានមកជាមួយនឹង Integrated Development Environment (IDE) និងអនុញ្ញាតឱ្យបង្កើត តេស្ត ព្រមទាំងចែកចាយកម្មវិធីសម្រាប់គ្រប់ផ្លេតហ្វម Apple ទាំងអស់។ គម្រោង Xcode អាចត្រូវបានបង្កើតពីភាសាកម្មវិធី Scratch ឬបានបង្កើតដោយពឹងផ្អែកលើប្រភពដោនឡូត/ក្លូនចេញពី Repositories ផ្សេងៗ។ ដោយការកំណត់គោលដៅ ប្រតិបត្តិកររបស់ XCSSET អាចចូលទៅដល់បណ្តុំនៃជនរងគ្រោះជាច្រើននាក់។ XCSSET មាន Modules ចម្រុះសម្រាប់ញែកទិន្នន័យនៅលើប្រព័ន្ធ ប្រមូលព័ត៌មានសំខាន់ៗ និងទាញយកទិន្នន័យទាំងនោះ។ ប្រភេទទិន្នន័យគោលដៅរួមមានទិន្នន័យ Logins ព័ត៌មានចេញពីកម្មវិធីជជែកកំសាន្ត និង Browsers, Notes app កាបូបប្រាក់ឌីជីថល ព័ត៌មានប្រព័ន្ធនិងឯកសារ។ ក្រុមហ៊ុន Microsoft ណែនាំឲ្យមានការត្រួតពិនិត្យ និងបញ្ជាក់ឡើងវិញពីគម្រោង Xcode និង Codebases ដែលក្លូនចេញពី Repositories មិនផ្លូវការ ព្រោះវាអាចលាក់មេរោគ ឬ Backdoors។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៧ ខែកុម្ភៈ ឆ្នាំ២០២៥
