OSX / NukeSped
Sjevernokorejska najplodonosnija hakerska skupina nesumnjivo je Lazarus APT (Advanced Persistent Threat). Sigurnosni stručnjaci vjeruju da ovu skupina za hakiranje izravno sponzoriraju vladari Sjeverne Koreje i vjerovatno je plaćeno da poduzme nadmetanje Kim Jong-una. Među njihovim ogromnim arsenalom alata za sjeckanje je i NukeSped RAT (Trojan s daljinskim pristupom). Do sada je NukeSped RAT dizajniran za ciljanje uređaja koji pokreću samo Windowse. No, čini se da je skupina za hakiranje Lazarusa odlučila proširiti svoj domet i redizajnirala NukeSped RAT omogućujući prijetnji da će sada ciljati i Mac sustave. Naziv nove NukeSped RAT varijante je OSX / NukeSped.
Načini širenja
Istraživači zlonamjernog softvera uočili su dvije metode razmnožavanja koje koristi hakerska grupa Lazarus:
- Lažna Adobe Flash datoteka koja u sebi sadrži originalnu kopiju aplikacije, zajedno s oštećenim modulom koji je trebao zaraziti ciljani sustav. Kada korisnici izvrše datoteku, prikazat će im se prezentacija koja će im odvratiti pozornost dok se zlonamjerni softver pokreće u pozadini.
- Neželjena e-pošta sadrži kompromitirani privitak koji sadrži makronaredbu. Priložena datoteka je u obliku dokumenta i trebala bi izgledati kao južnokorejski psihološki test.
Za sada se čini da se autori OSX / NukeSped zlonamjernog softvera više oslanjaju na prvu metodu, jer je ovo najnoviji vektor zaraze koji su koristili.
sposobnosti
Nakon zaraze ciljanog domaćina, OSX / NukeSped prijetnja pobrinut će se za postojanost u sustavu, tako da se prijetnja izvršava svaki put kada se korisnici odluče ponovno pokrenuti svoj Mac. Zatim, OSX / NukeSped zlonamjerni softver pobrinut će se da uspostavi vezu s C&C (Command & Control) serverom čija je adresa pohranjena u konfiguracijskoj datoteci prijetnje. Nakon uspješnog povezivanja s C&C poslužiteljem, OSX / NukeSped prijetnja će moći:
- Ubijaju procese.
- Izvršite daljinske naredbe.
- Sakupite podatke o konfiguraciji sustava, softvera i hardvera.
- Preuzmite datoteke s određenih URL-ova i izvršite ih.
- Prenesite datoteke i izvršite ih.
- Provjerite njegovu konfiguraciju.
- Samostalno ažuriranje.
- Zaustavite vezu s C&C poslužiteljem na određeno vrijeme.
Skupina hakiranja Lazara prijetnja je koju treba shvatiti ozbiljno. Važno je primijetiti da su odlučili započeti ciljati i strojeve sa operativnim sustavom OSX, jer to značajno proširuje njihov domet. Provjerite je li vaš sustav zaštićen uglednom aplikacijom protiv zlonamjernog softvera i ne zaboravite redovito primjenjivati odgovarajuća ažuriranja.