OSX / NukeSped

Η πιο παραγωγική ομάδα hacking της Βόρειας Κορέας είναι αναμφισβήτητα το Lazarus APT (Advanced Persistent Threat). Οι ειδικοί της ασφάλειας πιστεύουν ότι αυτή η ομάδα hacking χρηματοδοτείται απευθείας από τους κυβερνήτες της Βόρειας Κορέας και είναι πιθανόν να πληρώσει για να κάνει την υποβολή προσφορών του Kim Jong-un. Μεταξύ των τεράστιων οπλοστασίων των εργαλείων hacking είναι το NukeSped RAT (Trojan Remote Access). Μέχρι στιγμής, το NukeSped RAT σχεδιάστηκε για να στοχεύει συσκευές που εκτελούν Window μόνο. Ωστόσο, φαίνεται ότι η ομάδα hacking του Lazarus αποφάσισε να επεκτείνει την εμβέλειά της και να επανασχεδιάσει το NukeSped RAT που επιτρέπει την απειλή να στοχεύσει και τώρα τα συστήματα Mac. Το όνομα της νέας παραλλαγής NukeSped RAT είναι OSX / NukeSped.

Μέθοδοι πολλαπλασιασμού

Οι ερευνητές κακόβουλου λογισμικού έχουν εντοπίσει δύο μεθόδους διάδοσης που χρησιμοποιούνται από την ομάδα hacking Lazarus:

• Ένα ψευδές αρχείο Adobe Flash που φέρει ένα γνήσιο αντίγραφο της εφαρμογής μαζί με μια κατεστραμμένη ενότητα που προορίζεται να μολύνει το στοχευόμενο σύστημα. Όταν οι χρήστες εκτελούν το αρχείο, θα παρουσιάζονται με παρουσίαση που αποσκοπεί να τους αποσπάσει την προσοχή ενώ το κακόβουλο λογισμικό εκτελείται στο παρασκήνιο.
• Τα μηνύματα ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας που περιέχουν συμβιβασμένο μακροεντολή συνημμένο. Το συνημμένο αρχείο έχει τη μορφή εγγράφου και πρόκειται να φαίνεται σαν μια νοτιοκορεατική ψυχολογική δοκιμασία.

Προς το παρόν, φαίνεται ότι οι συντάκτες του κακόβουλου λογισμικού OSX / NukeSped βασίζονται περισσότερο στην πρώτη μέθοδο, καθώς πρόκειται για τον τελευταίο φορέα μόλυνσης που έχουν χρησιμοποιήσει.

Δυνατότητες

Μόλις μολυνθεί ο στοχευμένος κεντρικός υπολογιστής, η απειλή OSX / NukeSped θα εξασφαλίσει την εμμονή στο σύστημα, έτσι ώστε η απειλή να εκτελείται κάθε φορά που οι χρήστες επιλέγουν να επανεκκινήσουν το Mac. Στη συνέχεια, το λογισμικό κακόβουλου λογισμικού OSX / NukeSped θα διασφαλίσει τη σύνδεση με το διακομιστή C & C (Command & Control) των εισβολέων, του οποίου η διεύθυνση αποθηκεύεται στο αρχείο ρυθμίσεων της απειλής. Μετά τη σύνδεση με το διακομιστή C & C με επιτυχία, η απειλή OSX / NukeSped θα είναι σε θέση:

• Σκοτώστε τις διαδικασίες.
• Εκτελέστε απομακρυσμένες εντολές.
• Συγκεντρώστε δεδομένα σχετικά με τη διαμόρφωση, το λογισμικό και το υλικό του συστήματος.
• Κατεβάστε αρχεία από συγκεκριμένες διευθύνσεις URL και εκτελέστε τα.
• Μεταφορτώστε τα αρχεία και εκτελέστε τα.
• Ελέγξτε τη διαμόρφωσή του.
• Αυτο-ενημέρωση.
• Τερματίστε τη σύνδεση με το διακομιστή C & C για ορισμένη διάρκεια.

Η ομάδα πειρατείας Lazarus είναι ένας απειλητικός ηθοποιός που πρέπει να ληφθεί σοβαρά υπόψη. Είναι αξιοσημείωτο ότι αποφάσισαν να ξεκινήσουν μηχανές στόχευσης που εκτελούν OSX, πολύ σίγουρα, καθώς αυτό αυξάνει σημαντικά την εμβέλειά τους. Βεβαιωθείτε ότι το σύστημά σας προστατεύεται από μια αξιόπιστη εφαρμογή κατά του κακόβουλου λογισμικού και μην ξεχνάτε να εφαρμόζετε τακτικά τις κατάλληλες ενημερώσεις.