OSX / NukeSped

Észak-Korea legtermékenyebb csapkodócsoportja kétségtelenül a Lazarus APT (haladó tartós fenyegetés). A biztonsági szakértők úgy vélik, hogy ezt a csapkodó csoportot közvetlenül az észak-koreai kormányok szponzorálják, és valószínűleg fizetni fogják Kim Jong-un ajánlatai megtételéhez. A hacker eszközök hatalmas arzenálja között szerepel a NukeSped RAT (Remote Access Trojan). A NukeSped RAT-ot eddig csak Windowst futtató eszközök céljára tervezték. Úgy tűnik azonban, hogy a Lazarus hackeléscsoport úgy döntött, hogy kibővíti hatókörét, és átalakította a NukeSped RAT-ot, lehetővé téve a fenyegetést, hogy most a Mac rendszereket is megcélozza. Az új NukeSped RAT változat neve OSX / NukeSped.

Terjedési módszerek

A rosszindulatú programok kutatói két terjedési módszert fedeztek fel, amelyeket a Lazarus hackeléscsoport alkalmazott:

• Hamis Adobe Flash fájl, amely az alkalmazás eredeti példányát hordozza egy sérült modul mellett, amely a megcélzott rendszert megfertőzi. Amikor a felhasználók végrehajtják a fájlt, diavetítéssel látják el őket, amelynek célja, hogy elvonja őket, amíg a rosszindulatú program a háttérben fut.
• Spam e-mailek, amelyek veszélyeztetett makrócsatolt mellékletet tartalmaznak. A mellékelt fájl egy dokumentum alakú, és dél-koreai pszichológiai tesztnek tűnik.

Egyelőre úgy tűnik, hogy az OSX / NukeSped malware szerzői inkább az első módszerre támaszkodnak, mivel ez a legújabb fertőzésvektor, amelyet felhasználtak.

képességek

A megcélzott gazdagép megfertőzésekor az OSX / NukeSped fenyegetés meggyőződik arról, hogy a rendszer továbbra is fennmarad, így a fenyegetés minden alkalommal végrehajtódik, amikor a felhasználók újraindítják Mac-jüket. Ezután az OSX / NukeSped rosszindulatú program biztosan kapcsolatot létesít a támadók C&C (Command & Control) szerverével, amelynek címe a fenyegetés konfigurációs fájljában található. A C&C szerverrel való sikeres csatlakozás után az OSX / NukeSped fenyegetés képes lesz:

• Öld meg a folyamatokat.
• Végezzen távoli parancsokat.
• Gyűjtsön adatokat a rendszer konfigurációjáról, a szoftverről és a hardverről.
• Töltse le fájlokat a megadott URL-címekről és hajtsa végre azokat.
• Töltse fel a fájlokat és hajtsa végre azokat.
• Ellenőrizze a konfigurációt.
• Self-frissítés.
• Zárja be a kapcsolatot a C&C szerverrel egy ideig.

A Lazarus hackelési csoport fenyegető szereplő, amelyet komolyan kell venni. Figyelemre méltó, hogy úgy döntöttek, hogy az OSX operációs rendszert futtató gépeket is megcélozzák, mivel ez jelentősen bővíti elérhetőségüket. Győződjön meg arról, hogy rendszerét védelem alatt álló rosszindulatú programok ellen védi, és ne felejtse el rendszeresen telepíteni a megfelelő frissítéseket.