การโจมตีที่เก็บข้อมูลแพ็คเกจสามารถทำลายและขยายวงกว้างได้: พวกมันจะถูกค้นพบและดึงดูดความสนใจอย่างมากอย่างหลีกเลี่ยงไม่ได้ ในทางตรงกันข้าม ผู้คุกคามที่ต้องการส่งมัลแวร์ไปยังเป้าหมายเฉพาะเจาะจงอย่างลับๆ อาจเลือกที่จะโทรจันแอปพลิเคชันยอดนิยม

ในปี 2021 ลิงก์ผู้สนับสนุนในเสิร์ชเอ็นจิ้นของ Baidu ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่าน iTerm2 เวอร์ชันโทรจันของแอปพลิเคชันเทอร์มินัลยอดนิยม การตรวจสอบเพิ่มเติมใน OSX.Zuru ตามที่ทราบกันดีว่าพบว่าแคมเปญนี้ยังใช้ Remote Desktop ของ Microsoft เวอร์ชันโทรจันสำหรับ Mac, Navicat และ SecureCRT

แอปได้รับการออกแบบร่วมกันโดยมี Developer signature ที่แตกต่างจาก Legitimate signature โดยหลักแล้วเพื่อให้แน่ใจว่าจะไม่ถูกบล็อกโดย Gatekeeper นอกเหนือจากการแทนที่ Original code signature แล้ว ผู้คุกคามยังได้แก้ไขบันเดิลของแอปพลิเคชันด้วย dylib ที่เป็นอันตรายในโฟลเดอร์ .app/Contents/Frameworks/ ที่เรียกว่า libcrypto.2.dylib การวิเคราะห์ไฟล์นี้เผยให้เห็นฟังก์ชันการทำงานสำหรับการสำรวจสภาพแวดล้อมในเครื่อง เข้าถึงเซิร์ฟเวอร์ C2 และดำเนินการคำสั่งระยะไกลผ่านแบ็คดอร์

การเลือกแอพที่ถูกโทรจันนั้นน่าสนใจและชี้ให้เห็นว่าผู้คุกคามกำลังกำหนดเป้าหมายผู้ใช้แบ็คเอนด์ของเครื่องมือที่ใช้สำหรับการเชื่อมต่อระยะไกลและการจัดการฐานข้อมูลธุรกิจ

เมื่อเร็ว ๆ นี้ ผู้คุกคามที่เชื่อมโยงกับจีนถูกพบว่าแจกจ่าย EAAClient และ SecureLink เวอร์ชันโทรจันที่ส่งเพย์โหลด Sliver โทรจันเหล่านี้จะถูกส่งโดยไม่มี Code signature และผู้คุกคามใช้เทคนิคที่อธิบายไว้ข้างต้น เพื่อโน้มน้าวเหยื่อให้แทนที่การตั้งค่าความปลอดภัยในเครื่องผ่านเทอร์มินัล

เมื่อเร็ว ๆ นี้นักวิจัยยังพบเครื่องมือโอเพ่นซอร์สเวอร์ชันอันตรายที่ออกแบบมาเพื่อขโมยรหัสผ่านและพวง Keychain ของเหยื่อ ซึ่งช่วยให้ผู้บุกรุกสามารถเข้าถึงรหัสผ่านของผู้ใช้ทั้งหมดใน macOS ได้อย่างมีประสิทธิภาพ ในกรณีนี้ เครื่องมือที่เป็นปัญหาคือ Resign Tool ถูกใช้โดยนักพัฒนาเพื่อ Resign app และรวมเป็นไฟล์ ipa เพื่อติดตั้งบนอุปกรณ์ iOS ซึ่งบ่งชี้ถึงความสนใจที่ชัดเจนของผู้คุกคามในการทำให้นักพัฒนาติดไวรัส

วิธีป้องกันการโจมตีผ่าน Trojan Applications

• การตรวจสอบว่าโค้ดทั้งหมดได้รับการ Sign และ Code signature นั้นสอดคล้องกับ Developer signature
• การจำกัดหรือป้องกันการเรียกใช้ Unsigned code ด้วยผลิตภัณฑ์รักษาความปลอดภัย
• การใช้ซอฟต์แวร์ป้องกันปลายทางเพื่อป้องกันและตรวจจับการใช้ Code ที่น่าสงสัยหรือเป็นอันตราย

เวกเตอร์การติดไวรัสที่พบได้น้อยและต้องใช้ทักษะบางอย่างในการดึงออกคือการใช้ช่องโหว่ของเบราว์เซอร์เพื่อแพร่เชื้อผู้เยี่ยมชมเว็บไซต์ที่ติดไวรัส การแสวงหาประโยชน์แบบ Zero day ในเบราว์เซอร์เป็นพื้นที่ที่มุ่งเน้นเป็นประจำสำหรับการแข่งขันของแฮ็กเกอร์ รวมถึงการแข่งขัน Tianfu Cup ประจำปีของจีน แม้จะได้รับการแก้ไขแล้ว ช่องโหว่เหล่านี้ยังสามารถใช้เป็น N-Days กับองค์กรหรือผู้ใช้ที่ไม่อัปเดตเบราว์เซอร์ของตนได้

ในการอัปเดตความปลอดภัยล่าสุดสำหรับ macOS Ventura และ Safari ที่เผยแพร่เมื่อวันที่ 13 ธันวาคม 2022 มีการแก้ไขข้อบกพร่องมากกว่า 30 รายการ ซึ่งรวมถึงช่องโหว่ที่เกี่ยวข้องกับเบราว์เซอร์ดังต่อไปนี้:

• CVE-2022-42856: การประมวลผลเนื้อหาเว็บที่ออกแบบมาปองร้ายอาจนำ Code ไปใช้โดยอำเภอใจ Apple รับทราบรายงานที่ว่าปัญหานี้อาจถูกนำไปใช้อย่างเข้มงวด
• CVE-2022-42867: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อปองร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจ
• CVE-2022-46691: การประมวลผลเนื้อหาเว็บที่ออกแบบมาปองร้ายอาจนำไปสู่การใช้ Code โดยอำเภอใจ
• CVE-2022-46695: การเข้าชมเว็บไซต์ที่มีเนื้อหาเป็นอันตรายอาจนำไปสู่การปลอมแปลง UI
• CVE-2022-46696: การประมวลผลเนื้อหาเว็บที่ออกแบบมาเพื่อปองร้ายอาจนำไปสู่การใช้ Code โดยอำเภอใจ
• CVE-2022-46705: การเข้าชมเว็บไซต์ที่เป็นอันตรายอาจนำไปสู่การปลอมแปลงแถบที่อยู่

ผู้คุกคามที่เพิ่งใช้ประโยชน์จากช่องโหว่ใน macOS และใช้ช่องโหว่เหล่านี้ในการโจมตีแบบ watering hole ได้แก่ APT ที่เกี่ยวข้องกับจีนซึ่งรับผิดชอบ Macma และ DazzleSpy

นักวิจัยจาก TAG ของ Google ระบุว่า Macma ได้รวมช่องโหว่การเรียกใช้โค้ดจากระยะไกลแบบ N-day ใน WebKit (CVE-2021-1789) และการยกระดับสิทธิ์แบบ Zero-day ใน XNU (CVE-2021-30869) การหาประโยชน์แบบล่ามโซ่ถูกใช้เพื่อโหลดและรัน Mach-O ไบนารีในหน่วยความจำ มัลแวร์สามารถออกจากแซนด์บ็อกซ์ของ Safari ยกระดับสิทธิ์ และดาวน์โหลดไฟล์เพย์โหลดขั้นที่สองจาก C2 ได้

Firefox Zero Day ยังถูกใช้ในการโจมตีผู้ใช้ macOS Coinbase รายงานการโจมตีแบบกำหนดเป้าหมายผ่านสิ่งที่ต่อมารู้จักกันในชื่อ CVE-2019-11707 ในปี 2019 ซึ่งส่งมัลแวร์ Netwire และ Mokes หลากหลายรูปแบบ

วิธีป้องกันการโจมตีผ่าน Exploits และ Watering Holes

• ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ระบบและแอปพลิเคชันเป็นปัจจุบันเพื่อป้องกันการโจมตีโดยใช้ช่องโหว่ N-day
• ปรับใช้โซลูชันความปลอดภัย AI ตามพฤติกรรมที่สามารถตรวจจับพฤติกรรมที่น่าสงสัยซึ่งใช้ในเครือข่ายการติดไวรัสแบบ Zero Day
• ปรับใช้โซลูชันการรักษาความปลอดภัยที่อนุญาตให้มีการตามล่าภัยคุกคามในช่วงเวลาที่ขยายออกไป

เวกเตอร์การติดไวรัสบางส่วนที่เราได้กล่าวถึงสามารถและถูกใช้ในการโจมตี Supply-chain ที่พยายาม โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับแอปพลิเคชันโทรจัน Developer codeที่ใช้ร่วมกัน และที่เก็บข้อมูลแพ็คเกจ อย่างไรก็ตาม กรณีเหล่านั้นทั้งหมดเกี่ยวข้องกับโค้ด แพ็คเกจ และแอปพลิเคชัน Legitimate codeในเวอร์ชันปลอมหรือลอกเลียนแบบ

การโจมตี Supply-chain โดยที่ผู้คุกคาม Compromise รหัสที่ถูกต้องซึ่งแจกจ่ายโดยผู้ขายไปยังลูกค้ารายอื่นนั้นเกิดขึ้นได้ยาก แต่ใช่ว่าไม่เคยเกิดขึ้นมาก่อน ย้อนกลับไปในปี 2016 Transmission ไคลเอนต์ macOS torrent ยอดนิยมติดมัลแวร์เรียกค่าไถ่ macOS ซึ่งพบได้ยาก ผู้คุกคามบุกรุกเซิร์ฟเวอร์ของผู้พัฒนาและเพิ่มมัลแวร์ KeRanger ลงในดิสก์อิมเมจที่มีซอฟต์แวร์

ไม่นานมานี้ ในปี 2022 นักวิจัยค้นพบว่า APT 27 (หรือที่รู้จักกันในชื่อ Iron Tiger, LuckyMouse) ได้บุกรุกเซิร์ฟเวอร์ที่เป็นของแอปพลิเคชั่นแชท MiMi พบโปรแกรมติดตั้ง MiMi ที่ถูกบุกรุกกำลังเรียกข้อมูลแบ็คดอร์ Mach-O ชื่อ ‘rshell’ มีการเพิ่ม JavaScript ที่เป็นอันตรายลงในภาพดิสก์ที่ใช้ติดตั้งแอปพลิเคชันแชท เมื่อผู้ใช้เรียกใช้โปรแกรมติดตั้ง โค้ดที่เป็นอันตรายจะติดต่อไปยัง IP ระยะไกลเพื่อดึงข้อมูลไบนารีของ rshell มัลแวร์ทำหน้าที่เป็นประตูหลังที่มีความสามารถในการพิมพ์ลายนิ้วมืออุปกรณ์ของเหยื่อ กรองข้อมูล และเรียกใช้คำสั่งระยะไกล

rshell มีที่อยู่ IP แบบฮาร์ดโค้ดสำหรับ C2

วิธีป้องกันการ Supply Chain Attacks

การโจมตี Supply-chain สามารถเกิดขึ้นได้ผ่านเวกเตอร์ต่างๆ ที่กล่าวถึงข้างต้น และสามารถเกิดขึ้นได้ทุกที่ใน Supply-chain รวมถึงโดยตรงภายในวงจรการพัฒนาและการผลิตขององค์กรเอง ด้วยเหตุผลนี้ การป้องกันจากการ Compromise ดังกล่าวจำเป็นต้องมีกลยุทธ์ด้านความปลอดภัยโดยรวมซึ่งรวมถึงคำแนะนำส่วนใหญ่ที่ให้ไว้ข้างต้น แต่เน้นไปที่:

• ดำเนินการตรวจสอบสถานะซัพพลายเออร์และคู่ค้าทั้งหมดเพื่อให้มั่นใจว่ามีแนวทางปฏิบัติด้านความปลอดภัยที่ดี
• ตรวจสอบและทบทวนความปลอดภัยของ Supply-chain อย่างสม่ำเสมอ รวมถึงการเก็บบันทึกการเปลี่ยนแปลงในซัพพลายเออร์และคู่ค้าที่เป็นปัจจุบัน
• การใช้การควบคุมความปลอดภัยที่เข้มงวดทั่วทั้งองค์กร รวมถึงการใช้การควบคุมความปลอดภัย endpoint, cloud และการจัดการข้อมูลประจำตัวที่ทันสมัย
• อัปเดตระบบซอฟต์แวร์และแก้ไขช่องโหว่อย่างสม่ำเสมอ

วิธีอื่นในการหลีกเลี่ยงการถูกโจมตีของ macOS

สิ่งที่น่าสังเกตท่ามกลางสิ่งที่ขาดหายไปข้างต้นคือเวกเตอร์การติดไวรัสที่ใช้กันทั่วไป 2 ชนิดที่เห็นได้ โดยเฉพาะอย่างยิ่งในการโจมตีผู้ใช้ Windows: อีเมลที่มีลิงก์ฟิชชิ่ง และ RCE ผ่านการเชื่อมต่ออินเทอร์เน็ตที่เปิดเผยต่อสาธารณะ

ลิงก์และไฟล์แนบที่เป็นอันตรายแสดงถึงโอกาสสำหรับผู้คุกคามที่กำหนดเป้าหมายระบบใดๆ รวมถึง macOS รู้จัก Maldocs ที่กำหนดระบบโฮสต์และมีตรรกะเฉพาะสำหรับ macOS แล้ว แต่ยังไม่มีรายงานอย่างกว้างขวาง Sandbox Escape สำหรับ MS Office สำหรับ Mac นั้นไม่เคยได้ยินมาก่อน

ตามที่ระบุไว้ในบทนำของโพสต์นี้ วิธีเริ่มต้นในการ Compromise การติดมัลแวร์จำนวนมากยังไม่เป็นที่รู้จักสำหรับนักวิจัย และเนื่องจากความแพร่หลายของอีเมลฟิชชิ่งโดยทั่วไปในการ Compromise จึงเป็นเวกเตอร์ที่ผู้ป้องกันต้องพิจารณา

การโจมตีระยะไกลที่เกี่ยวข้องกับการเรียกใช้โค้ดโดยไม่ได้รับอนุญาตนั้นมักจะเกิดขึ้นทั่วไปใน Windows อันเป็นผลจากจุดอ่อนในซอฟต์แวร์ของ Microsoft โดยเฉพาะโปรโตคอล RDP ต้องบอกว่าการตรวจสอบการอัปเดตความปลอดภัยของ Apple เผยให้เห็นว่าช่องโหว่ Zero day RCE ใน macOS นั้นเป็นไปได้

องค์กรสามารถป้องกันความเป็นไปได้ของการ Compromise ผ่านเวกเตอร์ทั้งสองนี้โดยการใช้การควบคุมความปลอดภัยตามที่ระบุไว้ก่อนหน้านี้ โดยเน้นที่การป้องกันปลายทางและการอัปเดตซอฟต์แวร์ในเวลาที่เหมาะสมเพื่อป้องกันมัลแวร์ที่ดำเนินการผ่านความพยายามในการฟิชชิงและ RCE ผ่านซอฟต์แวร์และช่องโหว่ของระบบปฏิบัติการ

สรุป

การป้องกันการโจมตีในระยะแรกของการติดเชื้อช่วยลดผลกระทบต่อทั้งทีมรักษาความปลอดภัยและองค์กร น่าเสียดายที่ยังคงมีการรับรู้อย่างกว้างขวางว่าการควบคุม macOS เช่น การออกแบบโค้ด, Gatekeeper และบริการรับรองเอกสารของ Apple นั้นเพียงพอที่จะป้องกันการโจมตีด้วยมัลแวร์ที่ประสบความสำเร็จ แต่หลักฐานจากมัลแวร์ที่เห็นและค้นพบในปี 2022 เพียงอย่างเดียวพิสูจน์ให้เห็นเป็นอย่างอื่น Apple เองออกมาบันทึกระบุว่า Mac มีปัญหามัลแวร์

ด้วยการเสริมการป้องกันและทำความเข้าใจกับเวกเตอร์การติดไวรัสหลักที่ใช้โดยมัลแวร์ macOS ที่ใช้งานจริงตามที่กล่าวไว้ข้างต้น ทีมรักษาความปลอดภัยสามารถปกป้ององค์กรได้ดียิ่งขึ้น หากต้องการดูว่า SentinelOne สามารถช่วยปกป้อง Mac ในองค์กรของคุณได้อย่างไร โปรดติดต่อ WIT

ที่มา: https://www.sentinelone.com/blog/

เรียนรู้เพิ่มเติมเกี่ยวกับความท้าทายและภัยคุกคามที่ทีมรักษาความปลอดภัยและไอทีซึ่งใช้งานอุปกรณ์ macOS ในองค์กรต้องเผชิญ

Share