OSX / NukeSped
Nord-Koreas mest produktive hackinggruppe er utvilsomt Lazarus APT (Advanced Persistent Threat). Sikkerhetseksperter mener at denne hackinggruppen er sponset av de nordkoreanske styresmennene og sannsynligvis blir betalt for å gjøre Kim Jong-uns bud. Blant deres enorme arsenal av hackingverktøy er NukeSped RAT (Remote Access Trojan). Så langt ble NukeSped RAT designet for å målrette enheter som bare kjører Window. Imidlertid ser det ut til at Lazarus-hacking-gruppen har bestemt seg for å utvide rekkevidden og har redesignet NukeSped RAT slik at trusselen nå også kan målrette mot Mac-systemer. Navnet på den nye NukeSped RAT-varianten er OSX / NukeSped.
Formeringsmetoder
Malware-forskere har oppdaget to formeringsmetoder som er brukt av Lazarus hacking-gruppe:
- En falsk Adobe Flash-fil som har en ekte kopi av applikasjonen sammen med en ødelagt modul ment å infisere det målrettede systemet. Når brukerne kjører filen, vil de bli presentert for et lysbildefremvisning som er ment å distrahere dem mens skadelig programvare kjøres i bakgrunnen.
- Spam-e-poster som inneholder et kompromittert makro-laced vedlegg. Den vedlagte filen er i form av et dokument og er ment å virke som en sørkoreansk psykologisk test.
Foreløpig ser det ut til at forfatterne av OSX / NukeSped malware stoler mer på den første metoden, ettersom dette er den siste infeksjonsvektoren de har brukt.
Capabilities
Når infeksjonen av den målrettede verten infiseres, vil OSX / NukeSped-trusselen sørge for å få utholdenhet på systemet slik at trusselen blir kjørt hver gang brukerne velger å starte maskinen på nytt. Deretter sørger OSX / NukeSped-malware for å opprette en forbindelse med angripernes C&C (Command & Control) -server hvis adresse er lagret i trusselens konfigurasjonsfil. Når du kobler til C & C-serveren, vil OSX / NukeSped-trusselen kunne:
- Drep prosesser.
- Utfør eksterne kommandoer.
- Samle data angående systemets konfigurasjon, programvare og maskinvare.
- Last ned filer fra spesifiserte nettadresser og kjør dem.
- Last opp filer og kjør dem.
- Sjekk konfigurasjonen.
- Self-oppdatering.
- Avslutt tilkoblingen til C & C-serveren i en viss varighet.
Lazarus-hacking-gruppen er en trusselaktør som bør tas på alvor. Det er bemerkelsesverdig at de har bestemt seg for å begynne å målrette maskiner som kjører OSX, for sikkert, ettersom dette utvider rekkevidden betydelig. Forsikre deg om at systemet ditt er beskyttet av en anerkjent programvare mot skadelig programvare, og ikke glem å bruke passende oppdateringer regelmessig.