Threat Database Backdoors OSX / NukeSped

OSX / NukeSped

北朝鮮の最も多作なハッキンググループは、間違いなくLazarus APT(Advanced Persistent Threat)です。セキュリティ専門家は、このハッキンググループは北朝鮮の知事が直接後援しており、金正恩氏の入札に対価を支払う可能性が高いと考えています。ハッキングツールの膨大な武器の中には、NukeSped RAT(リモートアクセストロイの木馬)があります。これまでのところ、NukeSped RATはWindowのみを実行しているデバイスを対象とするように設計されていました。ただし、Lazarusハッキンググループはその範囲を拡大することを決定し、NukeSped RATを再設計して、脅威がMacシステムも標的にできるようになったようです。新しいNukeSped RATバリアントの名前はOSX / NukeSpedです。

伝播方法

マルウェア研究者は、Lazarusハッキンググループが採用している2つの伝播方法を発見しました。

  • 標的のシステムに感染することを意図した破損したモジュールとともにアプリケーションの正規のコピーを運ぶ偽のAdobe Flashファイル。ユーザーがファイルを実行すると、マルウェアがバックグラウンドで実行されている間、ユーザーの注意をそらすためのスライドショーが表示されます。
  • 侵害されたマクロレースの添付ファイルを含むスパムメール。添付ファイルは文書の形をしており、韓国の心理テストのように見えることを意図しています。

現時点では、OSX / NukeSpedマルウェアの作成者は、これが利用した最新の感染ベクトルであるため、最初の方法に依存しているようです。

能力

標的のホストに感染すると、OSX / NukeSped脅威はシステム上で持続性を確保し、ユーザーがMacの再起動を選択するたびに脅威が実行されるようにします。次に、OSX / NukeSpedマルウェアは、脅威の構成ファイルにアドレスが保存されている攻撃者のC&C(コマンド&コントロール)サーバーとの接続を確実に確立します。 C&Cサーバーに正常に接続すると、OSX / NukeSpedの脅威は次のことが可能になります。

  • プロセスを強制終了します。
  • リモートコマンドを実行します。
  • システムの構成、ソフトウェア、およびハードウェアに関するデータを収集します。
  • 指定されたURLからファイルをダウンロードして実行します。
  • ファイルをアップロードして実行します。
  • その構成を確認してください。
  • 自己更新。
  • 特定の期間、C&Cサーバーへの接続を終了します。

Lazarusハッキンググループは、真剣に受け止めるべき脅威アクターです。 OSXを実行しているマシンをターゲットにすることを決定したことは注目に値します。システムが信頼できるマルウェア対策アプリケーションによって保護されていることを確認し、適切な更新プログラムを定期的に適用することを忘れないでください。

トレンド

最も見られました

読み込んでいます...