OSX / NukeSped

De meest productieve hackgroep van Noord-Korea is ongetwijfeld de Lazarus APT (Advanced Persistent Threat). Beveiligingsexperts zijn van mening dat deze hackgroep direct door de Noord-Koreaanse gouverneurs wordt gesponsord en waarschijnlijk wordt betaald om het bieden van Kim Jong-un te doen. Onder hun enorme arsenaal aan hacktools is de NukeSped RAT (Trojan Remote Access). Tot nu toe was de NukeSped RAT alleen bedoeld voor apparaten met Windows. Het lijkt er echter op dat de Lazarus-hackgroep heeft besloten zijn bereik uit te breiden en de NukeSped RAT opnieuw heeft ontworpen, waardoor de dreiging nu ook op Mac-systemen kan worden gericht. De naam van de nieuwe NukeSped RAT-variant is OSX / NukeSped.

Voortplantingsmethoden

Malware-onderzoekers hebben twee propagatiemethoden ontdekt die door de Lazarus-hackgroep worden gebruikt:

• Een nep-Adobe Flash-bestand dat een authentiek exemplaar van de toepassing bevat naast een beschadigde module die bedoeld is om het beoogde systeem te infecteren. Wanneer de gebruikers het bestand uitvoeren, krijgen ze een diavoorstelling te zien die bedoeld is om hen af te leiden terwijl de malware op de achtergrond wordt uitgevoerd.
• Spam-e-mails met een gecompromitteerde bijlage met macroveters. Het bijgevoegde bestand heeft de vorm van een document en is bedoeld als een Zuid-Koreaanse psychologische test.

Voor nu lijkt het erop dat de auteurs van de OSX / NukeSped-malware meer vertrouwen op de eerste methode, omdat dit de nieuwste infectievector is die ze hebben gebruikt.

mogelijkheden

Wanneer de beoogde host wordt geïnfecteerd, zorgt de OSX / NukeSped-bedreiging ervoor dat het systeem persistent blijft, zodat de bedreiging wordt uitgevoerd telkens wanneer de gebruikers ervoor kiezen hun Mac opnieuw op te starten. Vervolgens zorgt de OSX / NukeSped-malware ervoor dat een verbinding tot stand wordt gebracht met de C&C (Command & Control) -server van de aanvaller waarvan het adres is opgeslagen in het configuratiebestand van de bedreiging. Na een succesvolle verbinding met de C&C server, kan de OSX / NukeSped-dreiging:

• Dood processen.
• Voer externe opdrachten uit.
• Verzamel gegevens over de configuratie, software en hardware van het systeem.
• Download bestanden van opgegeven URL's en voer ze uit.
• Bestanden uploaden en uitvoeren.
• Controleer de configuratie.
• Automatisch worden bijgewerkt.
• Verbreek de verbinding met de C&C server voor een bepaalde duur.

De hackinggroep van Lazarus is een bedreigingsacteur die serieus moet worden genomen. Het is opmerkelijk dat ze hebben besloten om te beginnen met het richten van machines waarop OSX draait, omdat dit hun bereik aanzienlijk vergroot. Zorg ervoor dat uw systeem wordt beschermd door een gerenommeerde anti-malwaretoepassing en vergeet niet de juiste updates regelmatig toe te passen.