OSX / NukeSped
Pohjois-Korean tuottavin hakkerointiryhmä on epäilemättä Lazarus APT (Advanced Persistent Threat). Turvallisuusasiantuntijat uskovat, että tätä hakkerointiryhmää tukevat suoraan Pohjois-Korean hallitukset ja että hänelle maksetaan todennäköisesti Kim Jong-unin tarjoukset. Yksi heidän laajasta hakkerointityökalujen arsenaalistaan on NukeSped RAT (Remote Access Trojan). Toistaiseksi NukeSped RAT on suunniteltu kohdistamaan laitteita, joissa on vain Window. Vaikuttaa kuitenkin siltä, että Lazarus-hakkerointiryhmä on päättänyt laajentaa ulottuvuuttaan ja suunnitellut uudelleen NukeSped RAT -sovelluksen sallimalla uhan kohdistaa nyt myös Mac-järjestelmiin. Uuden NukeSped RAT -variantin nimi on OSX / NukeSped.
Lisääntymismenetelmät
Haittaohjelmien tutkijat ovat havainneet kaksi Lazaruksen hakkerointiryhmän käyttämää levitysmenetelmää:
- Väärä Adobe Flash-tiedosto, jolla on aito kopio sovelluksesta vaurioituneen moduulin rinnalla, jonka tarkoituksena on tartuttaa kohdistettu järjestelmä. Kun käyttäjät suorittavat tiedoston, heille esitetään diaesitys, jonka tarkoituksena on häiritä heitä, kun haittaohjelmia ajetaan taustalla.
- Roskapostit, jotka sisältävät vaarannetun makropalatun liitteen. Liitteenä oleva tiedosto on asiakirjan muotoinen ja sen on tarkoitus tuntua olevan Etelä-Korean psykologinen testi.
Toistaiseksi näyttää siltä, että OSX / NukeSped-haittaohjelmien kirjoittajat luottavat enemmän ensimmäiseen menetelmään, koska tämä on viimeisin heidän käyttämänsä tartuntavektori.
kyvyt
Kun tartunnan kohteena oleva isäntä on, OSX / NukeSped-uhka varmistaa, että järjestelmä pysyy jatkuvana, jotta uhka toteutetaan joka kerta, kun käyttäjät valitsevat uudelleen Macin. Seuraavaksi OSX / NukeSped-haittaohjelma varmistaa, että luodaan yhteys hyökkääjien C&C (Command & Control) -palvelimeen, jonka osoite on tallennettu uhan asetustiedostoon. Kun yhteys C&C-palvelimeen on onnistunut, OSX / NukeSped-uhka pystyy:
- Tapa prosesseja.
- Suorita etäkomennot.
- Kerää tietoja järjestelmän kokoonpanosta, ohjelmistosta ja laitteistosta.
- Lataa tiedostoja tietyistä URL-osoitteista ja suorita ne.
- Lataa tiedostoja ja suorita ne.
- Tarkista sen kokoonpano.
- Päivittää itsensä.
- Lopeta yhteys C&C-palvelimeen tietyn ajan.
Lazaruksen hakkerointiryhmä on uhkatekijä, jota tulisi ottaa vakavasti. On huomattava, että he ovat päättäneet aloittaa kohdistamisen koneisiin, joissa on OSX, myös varmasti, koska tämä laajentaa niiden tavoitetta huomattavasti. Varmista, että järjestelmäsi on suojattu hyvämaineisella haittaohjelmien torjunnalla, älä unohda soveltaa päivityksiä säännöllisesti.
