ក្នុងការវាយប្រហារថ្មីមួយប្រឆាំងនឹងការផ្លាស់ប្តូររូបិយប័ណ្ណរូបិយប័ណ្ណ ក្រុម Lazarus មានទំនាក់ទំនងជាមួយកូរ៉េខាងជើងបន្ថែមពង្រាយមេរោគលើ macOS ដែលត្រូវ Kaspersky Lab រកឃើញ។ វាមានសកម្មភាពចាប់តាំងពីឆ្នាំ 2009 ហើយត្រូវរដ្ឋាភិបាលកូរ៉េខាងជើងគាំទ្រ។ គេចាត់ទុក Lazarus ជាការគម្រាមកំហែងធ្ងន់ធ្ងរបំផុតចំពោះធនាគារ។ គេស្គាល់ថា ក្រុមនេះជាអ្នករៀប ចំឱ្យមានការវាយប្រហារកម្រិតខ្ពស់ៗ មួយចំនួនរួមទាំងការហេគលើក្រុមហ៊ុន Sony ក្នុងឆ្នាំ ២០១៤ និងការផ្ទុះ Wannierry នៅឆ្នាំមុន។ក្នុងប៉ុន្មានខែថ្មីៗនេះ ក្រៅពីវិស័យធនាគារធនាគារ ក្រុមនេះធ្វើការវាយប្រហារផ្តោតលើការផ្លាស់ប្តូររូបិយប័ណ្ណផ្សេងៗ។
ក្នុងការវាយប្រហារមួយ ដែលសមាជិក Kaspersky សំដៅដល់ Operation AppleJeus នោះ ក្រុមវាយប្រហារនេះ ធ្វើការបោកបញ្ឆោតបុគ្គលិកដែលមិនដឹងខ្លួនឱ្យទាញយកកម្មវិធី trojanized cryptocurrency និងដំឡើងមេរោគ Malignly ។ អ្វីដែលធ្វើឱ្យការវាយប្រហារនេះមានលក្ខណៈល្អប្រសើរបើប្រៀបធៀបទៅនឹងការវាយប្រហារ Lazarus នោះ ដោយសារអ្នកហារបានរចនារូបរាងមេរោគរបស់ពួកគេដើម្បីកំណត់គោលដៅ លើ macOS បន្ថែមពីលើ Windows ។ ក្រុមស្រាវជ្រាវ Kaspersky និយាយថា នេះជាលើកទី 1 ហើយដែល Lazarus ប្រើប្រព័ន្ធ malware សម្រាប់វាយប្រហារលើប្រព័ន្ធប្រតិបត្តិការរបស់ក្រុមហ៊ុន Apple ។ ក្រុមការងារសន្តិសុខចង្អុលបង្ហាញថា ការពិតក្រុម Lazarus ពង្រីកបញ្ជីប្រព័ន្ធប្រតិបត្តិការ គោលដៅរបស់ខ្លួនគួរតែជាការដាស់តឿនដល់អ្នកដែលមិនមែនប្រើប្រព័ន្ធប្រតិបត្តិការ Windows។
ទោះយ៉ាងណាក៏ដោយ លេខកូដព្យាបាទមិននបញ្ជូនជាមួយកញ្ចប់តំឡើង របស់កម្មវិធីទេ។ ផ្ទុយទៅវិញវាត្រូវគេបញ្ចូនទៅម៉ាស៊ីនគោលដៅក្នុងទម្រង់នៃការផ្លាស់ ប្តូរថ្មីធ្វើមួយ ដែលនេះជាការរកឃើញរបស់អ្នកស្រាវជ្រាវសុវត្ថិភាពរបស់ Kaspersky ។ កម្មវិធីដែលមានលក្ខណៈស្របច្បាប់ត្រូវគេហៅថា Celas Trade Pro និងមកពី Celas Limited ។ កម្មវិធីជួញដូរ cryptocurrency គ្រប់ប្រភេទទាំងអស់ វាមិនបានបង្ហាញពីសញ្ញាណាមួយ ពីការព្យាបាទនៅពេលដំបូងនោះទេ។ទោះជាយ៉ាងណាក៏ដោយ ចុងបញ្ចប់នៃដំណើរការដំឡើង គេមើលឃើញថា វាដំណើរការ Updater.exe ដែលនឹងអាចប្រមូលព័ត៌មានប្រព័ន្ធហើយផ្ញើវាទៅម៉ាស៊ីនមេក្នុងលក្ខណៈរូបភាព GIF ម្ដងទៀត។
ផ្អែកលើការឆ្លើយតបរបស់ម៉ាស៊ីនមេ (server)កម្មវិធីធ្វើបច្ចុប្បន្នភាពដោយរក្សាភាពស្ងាត់ ឬទាញយកឯកសារផ្ទុកដោយប្រើ base64 និង decrypts វាដោយប្រើ RC4 ជាមួយនឹងកូនសោរ hardcoded ផ្សេងទៀតដើម្បីទាញយកឯកសារដែលអាចបញ្ចូល។សម្រាប់អ្នកប្រើ MacOS, Celas LLC ក៏បានផ្តល់នូវកំណែដើមនៃកម្មវិធីពាណិជ្ជកម្មរបស់ខ្លួនផងដែរ។ ម៉ូឌុល ‘autoupdater’ ដែលលាក់ បាំងត្រូវគេតំឡើងនៅផ្ទៃខាងក្រោយដើម្បីចាប់ផ្តើមភ្លាមៗក្រោយពីការដំឡើង និងការ reboot ប្រព័ន្ធនីមួយៗរបស់អ្នក នេះយោងតាមពន្យល់របស់ Kaspersky។
ម៉ូឌុលនេះនឹងបន្តទំនាក់ទំនងទៅ command និង control (C & C) ដើម្បីទាញយកនិងដំណើរការឯកសារបន្ថែម។ ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេត្រូវគេអនុវត្តតាមលក្ខណៈ ស្រដៀងគ្នាទៅនឹងការងារដែលប្រើ Windows ជាមួយប្រព័ន្ធព័ត៌មានដែលគេផ្ញើរមានអ៊ិនគ្រីប រួច ដោយក្លែងធ្វើជាឯកសាររូបភាពសម្រាប់ការផ្ទុក និងទាញយក។
កម្មវិធី Updater មិនត្រូវបានរាយបញ្ជីក្នុងកម្មវិធី Finder ឬការតំឡើង default Directory Terminal ទេ ហើយវាត្រូវគេបញ្ជូនបណ្តាញ command “CheckUpdate” នៅពេលចាប់ផ្តើមដំណើរការ។ ជាក់ស្តែង កម្មវិធីនេះនឹងបិទ ប្រសិនបើគ្មានការផ្តល់ command ហើយវាទំនងជាវិធីមួយដែលគេប្រើដើម្បីបោកបញ្ឆោតការរកឃើញដោយ sandboxes ។
កម្មវិធីដែលធ្វើការផ្លាស់ប្តូរថ្មី ដូចគ្នាទៅនឹង Windows variant ដោយទាំងពីរនេះត្រូវគេអនុវត្ត ដោយប្រើទម្រង់ Qt ។ នៅពេលប្រតិបត្តិ វាបង្កើតការកំណត់អត្តសញ្ញាណពិសេសមួយសម្រាប់ម៉ាស៊ីនដែលឆ្លងមេរោគ ការប្រមូលព័ត៌មានមូលដ្ឋាន ក្រោយមកអ៊ិនគ្រីបទិន្នន័យ និងផ្ទេរវាទៅម៉ាស៊ីនបម្រើរបស់អ្នកវាយប្រហារ។
ឯកសារដែលអាចបញ្ចូលបានមានទំហំធំមិនធម្មតាដោយសារវាត្រូវគេបំប៉ោងដោយទិន្នន័យ ឥតបានការ។ គោលបំណងចម្បងនៃមេរោគគឺដើម្បីដាក់បញ្ចូលតាមទ្វាក្រោយកម្មវិធី Fallchill ទៅលើម៉ាស៊ីន។ ក្រុម Kaspersky ចង្អុលបង្ហាញថា Backdoor Backdoor គឺជាផ្នែកមួយនៃមេរោគដែលត្រូវគេចាត់ទុកថាជាក្រុម Lazarus ដែលមានមេរោគយ៉ាងពេញលេញដើម្បីគ្រប់គ្រងម៉ាស៊ីន។ ក្រុមហ៊ុនសន្តិសុខក៏បានកត់សម្គាល់ផងដែរថា ប្រតិបត្តិករពពួកមេរោគហាក់ ដូចជាកំពុងប្រើកូដ និងរចនាសម្ព័ន្ធ C & C ម្តងហើយម្តងទៀត។ក្រុម Lazarus ចូលក្នុងទម្រង់ថ្មីមួយ: macOS ។ [… ] ដោយយើងជឿជាក់ថា នៅពេលអនាគត Lazarus នឹងគាំទ្រដល់វេទិកា (platforms) ទាំងអស់ ដែលអ្នកអភិវឌ្ឍន៍កម្មវិធីកំពុងប្រើជា platform មូលដ្ឋានមួយដោយសារតែអ្នកអភិវឌ្ឍន៍ជាច្រើនបើកទ្វារជាបណ្តើរៗ។ អ្វីដែល មិនទាន់ច្បាស់នោះថាតើ Lazarus អាចសម្រុះសម្រួល Celas និងរំលោភលើដំណើរ ការអាប់ដេតថ្មីរបស់វាដើម្បីបញ្ចូនមេរោគ ឬបើពួក Hacker អាចបង្កើត អាជីវកម្មដែលមាន លក្ខណៈស្របច្បាប់ និងចាក់បញ្ចូលទិន្នន័យដែលមានគ្រោះថ្នាក់ទៅក្នុង software អាប់ដេតថ្មីដែលស្របច្បាប់។ ការធ្វើដូច្នេះជាការបង្កើតចង្វាក់ផ្គត់ផ្គង់ក្លែងក្លាយ៕
ប្រភព៖
https://www.securityweek.com/north-korean-hackers-hit-cryptocurrency-exchange-macos-malware