- 推到:
北韓駭客發展Mac無檔案攻擊
- 發布日期:109-06-17
- 發布單位:刑事警察大隊
資安研究人員Dinesh Devadoss發現一支名為UnionCrypto 的Mac木馬程式樣本,為針對Mac平台的無檔案(Fileless)攻擊程式。該程式在記憶體內執行,僅少數防毒產品能偵測到(VirusTotal 上57個防毒引擎中,只有2個將UnionCrypto判斷為可疑程式)。Mr. Devadoss研判UnionCrypto來自北韓駭客組織Lazarus Group。
Lazarus Group過去經常冒充加密貨幣交易APP,誘騙加密貨幣用戶或是駭入交易平台管理員以感染其APP。Lazarus Group經常對macOS下手,但這次攻擊所展現的高明手法,卻是前所未見。Lazarus Group利用交易平台unioncrypto.vip,藉由UnionCrypoTrader.dmg (.dmg是macOS的映像檔格式) 檔案散布。利用指令開啟及安裝,映像檔內的Unioncrypto.pkg程式會安裝、啟動一個script,再建立開機服務(Launch Daemon)。開機服務目的在重覆安裝二進位執行檔unioncryptoupdater,能在Mac電腦每次開機時都執行。當unioncryptoupdater在Mac電腦成功執行時,會開始蒐集OS版本及基本系統資訊,並聯絡外部伺服器以進入第二階段的下載。
長期潛伏以及兩階段下載都是Lazarus Group的慣用手法。但Unioncrypto很特別的是,可直接在記憶體寫入與執行惡意程式碼。這種記憶內(in-memory)程式碼執行的能力,比Lazarus Group過去撰寫的Mac惡意程式,包含剛發現的AppleJeus,均更為進階。不過好消息是,由於Unioncrypto.pkg沒有簽章,在執行時會觸動macOS發出警告。另一方面,Lazarus Group的目標也非一般Mac用戶,因此尚不必擔心大規模的UnionCrypto攻擊,但這支惡意程式的出現可以知道,北韓駭客也逐漸學習新技巧,在Mac上透過無檔案攻擊手法增加匿蹤能力,各國應提高警覺,小心防範。
參考網址:https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16332
|