OSX / NukeSped

Sjevernokorejska najplodonosnija hakerska skupina nesumnjivo je Lazarus APT (Advanced Persistent Threat). Sigurnosni stručnjaci vjeruju da ovu skupina za hakiranje izravno sponzoriraju vladari Sjeverne Koreje i vjerovatno je plaćeno da poduzme nadmetanje Kim Jong-una. Među njihovim ogromnim arsenalom alata za sjeckanje je i NukeSped RAT (Trojan s daljinskim pristupom). Do sada je NukeSped RAT dizajniran za ciljanje uređaja koji pokreću samo Windowse. No, čini se da je skupina za hakiranje Lazarusa odlučila proširiti svoj domet i redizajnirala NukeSped RAT omogućujući prijetnji da će sada ciljati i Mac sustave. Naziv nove NukeSped RAT varijante je OSX / NukeSped.

Načini širenja

Istraživači zlonamjernog softvera uočili su dvije metode razmnožavanja koje koristi hakerska grupa Lazarus:

• Lažna Adobe Flash datoteka koja u sebi sadrži originalnu kopiju aplikacije, zajedno s oštećenim modulom koji je trebao zaraziti ciljani sustav. Kada korisnici izvrše datoteku, prikazat će im se prezentacija koja će im odvratiti pozornost dok se zlonamjerni softver pokreće u pozadini.
• Neželjena e-pošta sadrži kompromitirani privitak koji sadrži makronaredbu. Priložena datoteka je u obliku dokumenta i trebala bi izgledati kao južnokorejski psihološki test.

Za sada se čini da se autori OSX / NukeSped zlonamjernog softvera više oslanjaju na prvu metodu, jer je ovo najnoviji vektor zaraze koji su koristili.

sposobnosti

Nakon zaraze ciljanog domaćina, OSX / NukeSped prijetnja pobrinut će se za postojanost u sustavu, tako da se prijetnja izvršava svaki put kada se korisnici odluče ponovno pokrenuti svoj Mac. Zatim, OSX / NukeSped zlonamjerni softver pobrinut će se da uspostavi vezu s C&C (Command & Control) serverom čija je adresa pohranjena u konfiguracijskoj datoteci prijetnje. Nakon uspješnog povezivanja s C&C poslužiteljem, OSX / NukeSped prijetnja će moći:

• Ubijaju procese.
• Izvršite daljinske naredbe.
• Sakupite podatke o konfiguraciji sustava, softvera i hardvera.
• Preuzmite datoteke s određenih URL-ova i izvršite ih.
• Prenesite datoteke i izvršite ih.
• Provjerite njegovu konfiguraciju.
• Samostalno ažuriranje.
• Zaustavite vezu s C&C poslužiteljem na određeno vrijeme.

Skupina hakiranja Lazara prijetnja je koju treba shvatiti ozbiljno. Važno je primijetiti da su odlučili započeti ciljati i strojeve sa operativnim sustavom OSX, jer to značajno proširuje njihov domet. Provjerite je li vaš sustav zaštićen uglednom aplikacijom protiv zlonamjernog softvera i ne zaboravite redovito primjenjivati odgovarajuća ažuriranja.