รายงานโดยหัวหน้าเจ้าหน้าที่ความปลอดภัยข้อมูลของ SlowMist 23pds เมื่อวันที่ 22 เมษายน ระบุว่า กลุ่มแฮกเกอร์จากเกาหลีเหนือ Lazarus Group ได้เผยแพร่ชุดเครื่องมือมัลแวร์พื้นเมืองสำหรับ macOS ชุดใหม่ “Mach-O Man” ซึ่งมุ่งเป้าไปที่อุตสาหกรรมสกุลเงินดิจิทัล (cryptocurrency) และผู้บริหารระดับสูงขององค์กรที่มีมูลค่าสูง
วิธีการโจมตีและเป้าหมาย
จากรายงานการวิเคราะห์ของ Mauro Eldritch การโจมตีครั้งนี้ใช้วิธี ClickFix โดยผู้โจมตีส่งลิงก์ที่ปลอมเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram (โดยใช้บัญชีผู้ติดต่อที่ถูกบุกรุกแล้ว) จากนั้นจะพาเป้าหมายไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Microsoft Teams หรือ Google Meet และให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ การดำเนินการนี้ทำให้ผู้โจมตีได้รับสิทธิ์การเข้าถึงระบบโดยไม่ไปกระตุ้นมาตรการควบคุมความปลอดภัยแบบดั้งเดิม
ข้อมูลเป้าหมายที่เกี่ยวข้องกับการโจมตีประกอบด้วย: ข้อมูลรับรองและ Cookie ที่จัดเก็บในเบราว์เซอร์ ข้อมูลจาก macOS Keychain และข้อมูลส่วนขยายของเบราว์เซอร์ต่าง ๆ เช่น Brave, Vivaldi, Opera, Chrome, Firefox และ Safari ข้อมูลที่ถูกขโมยจะถูกเปิดเผยผ่าน Telegram Bot API รายงานระบุว่าผู้โจมตีเปิดเผยโทเค็นของบอท Telegram (ข้อผิดพลาดด้าน OPSEC) ซึ่งทำให้ความปลอดภัยเชิงปฏิบัติการของการกระทำลดลง
เป้าหมายของการโจมตีส่วนใหญ่คือผู้พัฒนา ผู้บริหาร และผู้กำหนดนโยบายในอุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรระดับสูงที่ใช้ macOS อย่างแพร่หลาย
ส่วนประกอบหลักของชุดเครื่องมือ Mach-O Man
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch ชุดเครื่องมือนี้ประกอบด้วยโมดูลหลักดังต่อไปนี้:
teamsSDK.bin: ตัวฝังเริ่มต้น ปลอมตัวเป็น Teams, Zoom, Google หรือแอประบบ และทำการตรวจระบุลายนิ้วมือของระบบพื้นฐาน
D1{สตริงแบบสุ่ม}.bin: ตัววิเคราะห์ระบบ รวบรวมชื่อโฮสต์ ประเภท CPU ข้อมูลระบบปฏิบัติการ และรายการส่วนขยายของเบราว์เซอร์ แล้วส่งไปยังเซิร์ฟเวอร์ C2
minst2.bin: โมดูลสำหรับความคงอยู่ (persistence) สร้างไดเรกทอรีปลอม “Antivirus Service” และ LaunchAgent เพื่อให้แน่ใจว่าจะทำงานต่อเนื่องทุกครั้งหลังเข้าสู่ระบบ
macrasv2: ตัวขโมยขั้นสุดท้าย รวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และรายการใน macOS Keychain หลังจากนั้นทำการแพ็กแล้วเปิดเผยผ่าน Telegram และลบตัวเองทิ้ง
สรุปตัวบ่งชี้การบุกรุกที่สำคัญ (IOC)
จาก IOC ที่เผยแพร่ในรายงานของ Mauro Eldritch:
IP ที่เป็นอันตราย: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
โดเมนที่เป็นอันตราย: update-teams[.]live / livemicrosft[.]com
ไฟล์สำคัญ (บางส่วน): teamsSDK.bin, macrasv2, minst2.bin, localencode, D1YrHRTg.bin, D1yCPUyk.bin
พอร์ตการสื่อสาร C2: 8888 และ 9999; ใช้ลักษณะสตริง User-Agent ของ Go HTTP เป็นหลัก
ดูแฮชแบบเต็มทั้งหมดและเมทริกซ์ ATT&CK ได้ในรายงานวิจัยดั้งเดิมของ Mauro Eldritch
คำถามที่พบบ่อย
“Mach-O Man” ชุดเครื่องมือนี้กำหนดเป้าหมายอุตสาหกรรมและเป้าหมายใดบ้าง?
ตามคำเตือนของ SlowMist 23pds และงานวิจัยของ BCA LTD “Mach-O Man” มุ่งเป้าไปที่อุตสาหกรรมฟินเทคและสกุลเงินดิจิทัล รวมถึงสภาพแวดล้อมองค์กรที่มีมูลค่าสูงซึ่งใช้ macOS อย่างแพร่หลาย โดยเฉพาะกลุ่มนักพัฒนา ผู้บริหาร และผู้ตัดสินใจ
ผู้โจมตีชักจูงผู้ใช้ macOS ให้รันคำสั่งที่เป็นอันตรายได้อย่างไร?
จากการวิเคราะห์ของ Mauro Eldritch ผู้โจมตีส่งลิงก์ที่แอบอ้างเป็นคำเชิญประชุมที่ถูกต้องผ่าน Telegram จากนั้นจะพาผู้ใช้ไปยังเว็บไซต์ปลอมที่แอบอ้างเป็น Zoom, Teams หรือ Google Meet และกระตุ้นให้ผู้ใช้เรียกใช้คำสั่งในเทอร์มินัลของ macOS เพื่อ “แก้ไข” ปัญหาการเชื่อมต่อ ซึ่งทำให้เกิดการติดตั้งมัลแวร์
“Mach-O Man” ทำการรั่วไหลของข้อมูลได้อย่างไร?
จากการวิเคราะห์เชิงเทคนิคของ Mauro Eldritch โมดูลสุดท้าย macrasv2 จะรวบรวมข้อมูลรับรองของเบราว์เซอร์, Cookie และข้อมูลจาก macOS Keychain จากนั้นแพ็กข้อมูลและเปิดเผยผ่าน Telegram Bot API พร้อมทั้งผู้โจมตีใช้สคริปต์ที่ลบตัวเองเพื่อเคลียร์ร่องรอยในระบบทิ้ง
btc.bar.articles
Volo Protocol สูญเสีย 3.5 ล้านดอลลาร์ในแฮ็กบน Sui ตกลงรับภาระความสูญเสีย และตรึงเงินของแฮกเกอร์
ข้อความ Gate News ประจำวันที่ 22 เมษายน — Volo Protocol ซึ่งเป็นผู้ให้บริการกองทุนผลตอบแทน (yield vault) บน Sui ได้ประกาศเมื่อวาน (21 เมษายน) ว่าได้เริ่มตรึง (freeze) สินทรัพย์ที่ถูกขโมยแล้ว หลังเกิดการโจมตีช่องโหว่มูลค่า 3.5 ล้านดอลลาร์สหรัฐ แฮกเกอร์ได้ขโมย WBTC, XAUm และ USDG จาก Volo Vaults ซึ่งนับเป็นเหตุละเมิดความปลอดภัยครั้งใหญ่ครั้งล่าสุดของ DeFi ใน
GateNews2 ชั่วโมง ที่แล้ว
ครอบครัวชาวฝรั่งเศสถูกบังคับให้โอนเงิน $820K ในคริปโท หลังการบุกบ้านด้วยอาวุธ
ข้อความจาก Gate News วันที่ 22 เมษายน — ครอบครัวหนึ่งใน Ploudalmézeau เมืองเล็กๆ ในแคว้นบริตตานี ประเทศฝรั่งเศส ถูกบุกโดยชายสวมหน้ากากที่ถืออาวุธสองคนเมื่อวันจันทร์ (20 เมษายน) ตามรายงานของ The Block ผู้ใหญ่ 3 คนถูกมัดไว้เป็นเวลานานกว่า 3 ชั่วโมง และถูกบังคับให้โอนเงินราว 700,000 ยูโร (ประมาณ $820,000) i
GateNews3 ชั่วโมง ที่แล้ว
DOJ เปิดตัวกระบวนการชดเชยสำหรับผู้เสียหายจากการฉ้อโกง OneCoin มูลค่า $40M+ สินทรัพย์ที่กู้คืนพร้อมให้จัดสรร
อัปเดตข่าว Gate ประจำวันที่ 22 เมษายน — กระทรวงยุติธรรมสหรัฐฯ ได้ประกาศการเริ่มต้นกระบวนการชดเชยให้แก่ผู้เสียหายจากแผนฉ้อโกงสกุลเงินดิจิทัล OneCoin โดยขณะนี้มีสินทรัพย์ที่กู้คืนได้มากกว่า $40 ล้านดอลลาร์ พร้อมสำหรับการจัดสรร
แผนการนี้ ดำเนินการระหว่างปี 2014 ถึง 2019 โดย Ruja
GateNews4 ชั่วโมง ที่แล้ว
AI16Z และผู้สร้าง ELIZAOS ถูกฟ้องจากข้อกล่าวหาฉ้อโกงมูลค่า 2.6 พันล้านดอลลาร์สหรัฐ; โทเค็นร่วง 99.9% จากระดับสูงสุด
คดีฟ้องค่าสินไหมทดแทนแบบกลุ่มระดับรัฐบาลกลางกล่าวหา AI16Z/ELIZAOS ว่าก่อทุจริตคริปโตรวมมูลค่า 2.6 พันล้านดอลลาร์สหรัฐ ผ่านข้ออ้างเกี่ยวกับ AI ปลอมและการตลาดที่หลอกลวง โดยกล่าวหาว่ามีการเข้าข้างคนวงในและมีการจัดฉากระบบอัตโนมัติ กล่าวหาว่าขอเรียกค่าเสียหายภายใต้กฎหมายคุ้มครองผู้บริโภค
บทคัดย่อ: รายงานฉบับนี้ครอบคลุมคดีฟ้องแบบกลุ่มในระดับรัฐบาลกลางที่ยื่นใน SDNY เมื่อวันที่ 21 เมษายน โดยกล่าวหาว่า AI16Z และการรีแบรนด์เป็น ELIZAOS มีส่วนเกี่ยวข้องกับการฉ้อโกงคริปโรมูลค่า 2.6 พันล้านดอลลาร์สหรัฐ ซึ่งเกี่ยวข้องกับข้ออ้างเกี่ยวกับ AI ปลอมและการตลาดที่หลอกลวง คดีดังกล่าวกล่าวหาว่ามีการสร้างความเชื่อมโยงกับ Andreessen Horowitz และเป็นระบบที่ไม่ใช่อัตโนมัติ รายงานระบุถึงมูลค่าสูงสุดในช่วงต้นปี 2025 การร่วงลง 99.9% และประมาณ 4,000 วอลเล็ตที่ขาดทุน โดยคนวงในได้รับ ~40% ของโทเค็นใหม่ โจทก์ขอค่าเสียหายและการเยียวยาเชิงความเป็นธรรมภายใต้กฎหมายคุ้มครองผู้บริโภคของนิวยอร์กและแคลิฟอร์เนีย หน่วยงานกำกับดูแลในเกาหลีและบริษัทยักษ์ใหญ่ในตลาดแลกเปลี่ยนได้เตือนหรือระงับการซื้อขายที่เกี่ยวข้องแล้ว
GateNews5 ชั่วโมง ที่แล้ว
ประกาศเตือนของ SlowMist: มัลแวร์ macOS แบบ Active MacSync Stealer ที่กำหนดเป้าหมายผู้ใช้คริปโต
SlowMist เตือนเกี่ยวกับ MacSync Stealer (v1.1.2) สำหรับ macOS ที่ขโมยกระเป๋าเงิน คุยเหล่าน่าเชื่อถือ พวงกุญแจของระบบ และคีย์โครงสร้างพื้นฐาน โดยใช้พรอมต์ AppleScript ที่ปลอม และข้อความข้อผิดพลาดปลอมว่า "unsupported"; เรียกร้องให้ระมัดระวังและตระหนักถึง IOCs
บทคัดย่อ: รายงานฉบับนี้สรุปการแจ้งเตือนของ SlowMist เกี่ยวกับ MacSync Stealer (v1.1.2) ซึ่งเป็นมัลแวร์ขโมยข้อมูลบน macOS ที่มุ่งเป้าไปที่กระเป๋าเงินคริปโท เคื่องเหล่าน่าเชื่อถือของเบราว์เซอร์ พวงกุญแจของระบบ และคีย์โครงสร้างพื้นฐาน (SSH, AWS, Kubernetes). มันหลอกผู้ใช้ด้วยกล่องโต้ตอบ AppleScript ที่ปลอมขึ้นเพื่อให้ขอรหัสผ่านและแสดงข้อความปลอมว่า "unsupported" ที่มองเห็นได้ SlowMist ให้ IOCs แก่ลูกค้าและแนะนำให้หลีกเลี่ยงสคริปต์ macOS ที่ไม่ได้รับการยืนยัน และคงความระมัดระวังต่อพรอมต์รหัสผ่านที่ผิดปกติ
GateNews6 ชั่วโมง ที่แล้ว
北韩 Lazarus 组织部署 Mach-O Man 恶意软件,从 macOS 用户窃取加密货币钱包凭据
Lazarus 为 macOS 发布 Mach-O Man,用于窃取钥匙串数据和钱包凭据,借助 ClickFix 弹窗针对加密货币高管,并通过被攻陷的 Telegram 会议锁定目标。
摘要:该文章称,与 Lazarus 相关的 Mach-O Man 恶意软件以 macOS 为目标,用于外传钥匙串数据、浏览器凭据和登录会话,以访问加密货币钱包和交易所账户。其分发依赖 ClickFix 社会工程学,以及被攻陷的 Telegram 账户将受害者引导至虚假的会议链接。文章将该行动与 4 月 20 日的 Kelp DAO 黑客事件关联,并点名 TraderTraitor 为与 Lazarus 有关的组织,同时指出 rsETH 可通过 LayerZero 的 OFT 标准在多条区块链之间移动。
GateNews7 ชั่วโมง ที่แล้ว
