OSX / NukeSped

Najbardziej płodną grupą hakerską Korei Północnej jest niewątpliwie Lazarus APT (Advanced Persistent Threat). Eksperci ds. Bezpieczeństwa uważają, że ta grupa hakerska jest sponsorowana bezpośrednio przez północnokoreańskich rządów i prawdopodobnie zostanie opłacona za licytację Kim Jong-un. Wśród ich ogromnego arsenału narzędzi hakerskich jest NukeSped RAT (trojan dostępu zdalnego). Do tej pory NukeSped RAT był przeznaczony do atakowania urządzeń tylko z Windowsem. Wydaje się jednak, że grupa hakerów Lazarus postanowiła rozszerzyć swój zasięg i przeprojektowała RAT NukeSped, umożliwiając teraz atakowanie również systemów Mac. Nazwa nowego wariantu NUKSped RAT to OSX / NukeSped.

Metody rozmnażania

Badacze złośliwego oprogramowania zauważyli dwie metody rozprzestrzeniania stosowane przez grupę hakerów Lazarus:

• Fałszywy plik Adobe Flash, który zawiera oryginalną kopię aplikacji wraz z uszkodzonym modułem przeznaczonym do zainfekowania docelowego systemu. Gdy użytkownicy wykonają plik, zostanie wyświetlony pokaz slajdów, który ma ich rozproszyć, gdy złośliwe oprogramowanie jest uruchamiane w tle.
• E-maile spamowe zawierające zainfekowany załącznik zawierający makra. Załączony plik ma kształt dokumentu i ma wyglądać jak test psychologiczny z Korei Południowej.

Na razie wydaje się, że autorzy złośliwego oprogramowania OSX / NukeSped polegają bardziej na pierwszej metodzie, ponieważ jest to najnowszy zastosowany przez nich wektor infekcji.

Możliwości

Po zarażeniu docelowego hosta zagrożenie OSX / NukeSped zapewni trwałość w systemie, dzięki czemu zagrożenie będzie wykonywane za każdym razem, gdy użytkownicy zdecydują się na ponowne uruchomienie komputera Mac. Następnie szkodliwe oprogramowanie OSX / NukeSped upewni się, czy ustanowiono połączenie z serwerem C&C (Command & Control) atakującego, którego adres jest przechowywany w pliku konfiguracyjnym zagrożenia. Po udanym połączeniu z serwerem C&C zagrożenie OSX / NukeSped będzie w stanie:

• Zabij procesy.
• Wykonuj polecenia zdalne.
• Zbierz dane dotyczące konfiguracji systemu, oprogramowania i sprzętu.
• Pobierz pliki z określonych adresów URL i uruchom je.
• Prześlij pliki i uruchom je.
• Sprawdź jego konfigurację.
• Samodzielna aktualizacja.
• Zakończ połączenie z serwerem C&C na określony czas.

Grupa hakerska Lazarus to aktor grożący, który należy potraktować poważnie. Warto zauważyć, że zdecydowali się zacząć atakować maszyny z systemem OSX, na pewno, ponieważ znacznie zwiększa to ich zasięg. Upewnij się, że twój system jest chroniony przez renomowaną aplikację anty-malware i nie zapomnij regularnie stosować odpowiednich aktualizacji.