248/68 (IT) ประจำวันอังคารที่ 8 กรกฎาคม 2568
ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์จาก SentinelOne ออกเตือนถึงการโจมตีจากกลุ่มภัยคุกคามที่เชื่อมโยงกับเกาหลีเหนือ ที่กำลังมุ่งเป้าไปยังบริษัทในกลุ่ม Web3 และคริปโตเคอร์เรนซี โดยใช้มัลแวร์ NimDoor สำหรับระบบปฏิบัติการ macOS ที่ถูกแฝงมาในรูปแบบการอัปเดต Zoom ปลอม มัลแวร์ดังกล่าวเขียนด้วยภาษา Nim ซึ่งไม่พบบ่อยในมัลแวร์ฝั่ง macOS และมีความสามารถขั้นสูง เช่น การสื่อสารผ่าน WebSocket แบบเข้ารหัส (wss), การขโมยข้อมูลจาก Keychain และเบราว์เซอร์ รวมถึงการติดตั้งซ้ำโดยอัตโนมัติหากถูกลบออก
แคมเปญการโจมตีเริ่มต้นด้วยการส่งลิงก์ฟิชชิ่งผ่าน Telegram หรือ Calendly เพื่อหลอกให้เหยื่อดาวน์โหลดสคริปต์ชื่อ “zoom_sdk_support.scpt” ซึ่งมีการแฝง payload ไว้ภายใน เมื่อถูกรัน สคริปต์จะเชื่อมต่อไปยังโดเมนปลอมที่เลียนแบบ Zoom เช่น support.us05web-zoom[.]forum เพื่อดาวน์โหลดมัลแวร์ระยะที่สอง โดย NimDoor จะดรอปไฟล์ Mach-O สองไฟล์ (‘a’ และ ‘installerì’) ลงในไดเรกทอรี /tmp โดยที่ไฟล์ ‘a’ ทำหน้าที่ถอดรหัสข้อมูลเพื่อขโมยข้อมูลจากเบราว์เซอร์และ Telegram ขณะที่ ‘installerì’ มีหน้าที่สร้างความคงอยู่ (persistence) ในระบบ โดยอาศัยเทคนิค process injection ที่พบได้น้อยใน macOS และใช้ entitlement พิเศษ เช่น com.apple.security.cs.debugger และ com.apple.security.get-task-allow
นักวิจัยพบว่า NimDoor ถูกออกแบบให้มีโครงสร้างการทำงานแบบหลายเฟส พร้อมกลไกการเข้ารหัสหลายชั้น รวมถึงใช้ signal handler สำหรับจัดการกับคำสั่งหยุดการทำงานของระบบ (SIGINT และ SIGTERM) เพื่อให้สามารถรีสตาร์ตตนเองได้อีกครั้ง ทั้งนี้ การเลือกใช้ภาษา Nim ยังช่วยสร้างความซับซ้อนในการวิเคราะห์ย้อนกลับ (reverse engineering) รายงานของ SentinelLABS ระบุว่า กลุ่มภัยคุกคามที่เชื่อมโยงกับเกาหลีเหนือมีแนวโน้มปรับเปลี่ยนกลยุทธ์อย่างต่อเนื่อง โดยหันมาใช้ภาษาโปรแกรมข้ามแพลตฟอร์มใหม่ ๆ เช่น Go, Rust และล่าสุดคือ Nim เพื่อสร้างความซับซ้อนในกระบวนการวิเคราะห์และเพิ่มโอกาสเพื่อหลบเลี่ยงระบบตรวจจับ
