OSX / NukeSped
朝鮮最多產的黑客組織無疑是Lazarus APT(高級持久威脅)。安全專家認為,這個黑客組織是由朝鮮政府直接贊助的,很可能得到金正恩的競標。 NukeSped RAT(遠程訪問木馬)是他們龐大的黑客工具庫之一。到目前為止,NukeSped RAT設計為僅針對運行Window的設備。但是,拉撒路(Lazarus)黑客小組似乎已決定擴大其範圍,並重新設計了NukeSped RAT,使該威脅現在也可以瞄準Mac系統。新的NukeSped RAT變體的名稱是OSX / NukeSped。
傳播方式
惡意軟件研究人員發現了拉撒路黑客組織採用的兩種傳播方法:
- 一個偽造的Adobe Flash文件,其中包含應用程序的真實副本以及損壞的模塊,旨在感染目標系統。當用戶執行文件時,將向他們顯示幻燈片,以分散他們在後台運行惡意軟件的注意力。
- 垃圾郵件中包含受到破壞的宏限製附件。附件為文件形式,看起來像是韓國的心理測驗。
目前,似乎OSX / NukeSped惡意軟件的作者更多地依賴第一種方法,因為這是他們使用的最新感染媒介。
能力
感染目標主機後,OSX / NukeSped威脅將確保獲得對系統的持久性,以便用戶每次選擇重新引導Mac時都將執行該威脅。接下來,OSX / NukeSped惡意軟件將確保與攻擊者的C&C(命令與控制)服務器建立連接,該服務器的地址存儲在威脅的配置文件中。成功連接C&C服務器後,OSX / NukeSped威脅將能夠:
- 殺死進程。
- 執行遠程命令。
- 收集有關係統配置,軟件和硬件的數據。
- 從指定的URL下載文件並執行它們。
- 上傳文件並執行它們。
- 檢查其配置。
- 自我更新。
- 終止與C&C服務器的連接一段時間。
拉撒路(Lazarus)黑客組織是一個威脅角色,應予以重視。值得注意的是,他們已經決定肯定會開始針對運行OSX的計算機,因為這會大大擴展其範圍。確保您的系統受到信譽良好的反惡意軟件應用程序的保護,並且不要忘記定期應用適當的更新。
