OSX / NukeSped
朝鲜最多产的黑客组织无疑是Lazarus APT(高级持久威胁)。安全专家认为,这个黑客组织是由朝鲜政府直接赞助的,很可能得到金正恩的竞标。 NukeSped RAT(远程访问木马)是他们庞大的黑客工具库之一。到目前为止,NukeSped RAT设计为仅针对运行Window的设备。但是,拉撒路(Lazarus)黑客小组似乎已决定扩大其范围,并重新设计了NukeSped RAT,使该威胁现在也可以瞄准Mac系统。新的NukeSped RAT变体的名称是OSX / NukeSped。
传播方式
恶意软件研究人员发现了拉撒路黑客组织采用的两种传播方法:
- 一个伪造的Adobe Flash文件,其中包含应用程序的真实副本以及损坏的模块,旨在感染目标系统。当用户执行文件时,将向他们显示幻灯片,以分散他们在后台运行恶意软件的注意力。
- 垃圾邮件中包含受到破坏的宏限制附件。附件为文件形式,看起来像是韩国的心理测验。
目前,似乎OSX / NukeSped恶意软件的作者更多地依赖第一种方法,因为这是他们使用的最新感染媒介。
能力
感染目标主机后,OSX / NukeSped威胁将确保获得对系统的持久性,以便用户每次选择重新引导Mac时都将执行该威胁。接下来,OSX / NukeSped恶意软件将确保与攻击者的C&C(命令与控制)服务器建立连接,该服务器的地址存储在威胁的配置文件中。成功连接C&C服务器后,OSX / NukeSped威胁将能够:
- 杀死进程。
- 执行远程命令。
- 收集有关系统配置,软件和硬件的数据。
- 从指定的URL下载文件并执行它们。
- 上传文件并执行它们。
- 检查其配置。
- 自我更新。
- 终止与C&C服务器的连接一段时间。
拉撒路(Lazarus)黑客组织是一个威胁角色,应予以重视。值得注意的是,他们已经决定肯定会开始针对运行OSX的计算机,因为这会大大扩展其范围。确保您的系统受到信誉良好的反恶意软件应用程序的保护,并且不要忘记定期应用适当的更新。
