OSX / NukeSped
Najbardziej płodną grupą hakerską Korei Północnej jest niewątpliwie Lazarus APT (Advanced Persistent Threat). Eksperci ds. Bezpieczeństwa uważają, że ta grupa hakerska jest sponsorowana bezpośrednio przez północnokoreańskich rządów i prawdopodobnie zostanie opłacona za licytację Kim Jong-un. Wśród ich ogromnego arsenału narzędzi hakerskich jest NukeSped RAT (trojan dostępu zdalnego). Do tej pory NukeSped RAT był przeznaczony do atakowania urządzeń tylko z Windowsem. Wydaje się jednak, że grupa hakerów Lazarus postanowiła rozszerzyć swój zasięg i przeprojektowała RAT NukeSped, umożliwiając teraz atakowanie również systemów Mac. Nazwa nowego wariantu NUKSped RAT to OSX / NukeSped.
Metody rozmnażania
Badacze złośliwego oprogramowania zauważyli dwie metody rozprzestrzeniania stosowane przez grupę hakerów Lazarus:
- Fałszywy plik Adobe Flash, który zawiera oryginalną kopię aplikacji wraz z uszkodzonym modułem przeznaczonym do zainfekowania docelowego systemu. Gdy użytkownicy wykonają plik, zostanie wyświetlony pokaz slajdów, który ma ich rozproszyć, gdy złośliwe oprogramowanie jest uruchamiane w tle.
- E-maile spamowe zawierające zainfekowany załącznik zawierający makra. Załączony plik ma kształt dokumentu i ma wyglądać jak test psychologiczny z Korei Południowej.
Na razie wydaje się, że autorzy złośliwego oprogramowania OSX / NukeSped polegają bardziej na pierwszej metodzie, ponieważ jest to najnowszy zastosowany przez nich wektor infekcji.
Możliwości
Po zarażeniu docelowego hosta zagrożenie OSX / NukeSped zapewni trwałość w systemie, dzięki czemu zagrożenie będzie wykonywane za każdym razem, gdy użytkownicy zdecydują się na ponowne uruchomienie komputera Mac. Następnie szkodliwe oprogramowanie OSX / NukeSped upewni się, czy ustanowiono połączenie z serwerem C&C (Command & Control) atakującego, którego adres jest przechowywany w pliku konfiguracyjnym zagrożenia. Po udanym połączeniu z serwerem C&C zagrożenie OSX / NukeSped będzie w stanie:
- Zabij procesy.
- Wykonuj polecenia zdalne.
- Zbierz dane dotyczące konfiguracji systemu, oprogramowania i sprzętu.
- Pobierz pliki z określonych adresów URL i uruchom je.
- Prześlij pliki i uruchom je.
- Sprawdź jego konfigurację.
- Samodzielna aktualizacja.
- Zakończ połączenie z serwerem C&C na określony czas.
Grupa hakerska Lazarus to aktor grożący, który należy potraktować poważnie. Warto zauważyć, że zdecydowali się zacząć atakować maszyny z systemem OSX, na pewno, ponieważ znacznie zwiększa to ich zasięg. Upewnij się, że twój system jest chroniony przez renomowaną aplikację anty-malware i nie zapomnij regularnie stosować odpowiednich aktualizacji.