OSX / NukeSped

Несомненно, самая плодовитая хакерская группа в Северной Корее - Lazarus APT (Advanced Persistent Threat). Эксперты по безопасности считают, что эта хакерская группа спонсируется северокорейским руководством напрямую и, скорее всего, ей платят за выполнение заданий Ким Чен Уна. Среди их огромного арсенала хакерских инструментов - NukeSped RAT (троян удаленного доступа). До сих пор NukeSped RAT был предназначен для устройств, работающих только с Windows. Однако может показаться, что хакерская группа Lazarus решила расширить сферу своей деятельности и перепроектировала RAT NukeSped, позволяя угрозе атаковать и системы Mac. Название нового варианта NukeSped RAT - OSX / NukeSped.

Методы распространения

Исследователи вредоносных программ обнаружили два метода распространения, используемые хакерской группой Lazarus:

• Поддельный файл Adobe Flash, содержащий подлинную копию приложения вместе с поврежденным модулем, предназначенным для заражения целевой системы. Когда пользователи запустят файл, им будет представлено слайд-шоу, которое должно отвлекать их, пока вредоносная программа запускается в фоновом режиме.
• Спам по электронной почте, содержащий скомпрометированное вложение в макросе. Прикрепленный файл имеет форму документа и должен выглядеть как психологический тест для Южной Кореи.

На данный момент, похоже, что авторы вредоносного ПО OSX / NukeSped больше полагаются на первый метод, так как это самый последний вектор заражения, который они использовали.

возможности

После заражения целевого хоста угроза OSX / NukeSped обеспечит постоянство в системе, так что угроза будет выполняться каждый раз, когда пользователи решат перезагрузить свой Mac. Затем вредоносная программа OSX / NukeSped обязательно установит соединение с сервером C & C (Command & Control) злоумышленников, чей адрес хранится в файле конфигурации угрозы. После успешного подключения к серверу C & C угроза OSX / NukeSped сможет:

• Убить процессы.
• Выполнять удаленные команды.
• Сбор данных, касающихся конфигурации системы, программного обеспечения и оборудования.
• Загрузите файлы с указанных URL-адресов и выполните их.
• Загрузите файлы и выполните их.
• Проверьте его конфигурацию.
• Self-обновления.
• Завершите соединение с C & C сервером на определенное время.

Хакерская группа Lazarus является действующим лицом, к которому следует относиться серьезно. Примечательно, что они решили начать нацеливаться на машины под управлением OSX, поскольку это значительно расширяет их охват. Убедитесь, что ваша система защищена надежным антивирусным приложением, и не забывайте регулярно применять соответствующие обновления.