北韓駭客發展Mac無檔案攻擊

• 發布日期：109-06-17
• 發布單位：刑事警察大隊

資安研究人員Dinesh Devadoss發現一支名為UnionCrypto 的Mac木馬程式樣本，為針對Mac平台的無檔案(Fileless)攻擊程式。該程式在記憶體內執行，僅少數防毒產品能偵測到(VirusTotal 上57個防毒引擎中，只有2個將UnionCrypto判斷為可疑程式)。Mr. Devadoss研判UnionCrypto來自北韓駭客組織Lazarus Group。
Lazarus Group過去經常冒充加密貨幣交易APP，誘騙加密貨幣用戶或是駭入交易平台管理員以感染其APP。Lazarus Group經常對macOS下手，但這次攻擊所展現的高明手法，卻是前所未見。Lazarus Group利用交易平台unioncrypto.vip，藉由UnionCrypoTrader.dmg (.dmg是macOS的映像檔格式) 檔案散布。利用指令開啟及安裝，映像檔內的Unioncrypto.pkg程式會安裝、啟動一個script，再建立開機服務(Launch Daemon)。開機服務目的在重覆安裝二進位執行檔unioncryptoupdater，能在Mac電腦每次開機時都執行。當unioncryptoupdater在Mac電腦成功執行時，會開始蒐集OS版本及基本系統資訊，並聯絡外部伺服器以進入第二階段的下載。
長期潛伏以及兩階段下載都是Lazarus Group的慣用手法。但Unioncrypto很特別的是，可直接在記憶體寫入與執行惡意程式碼。這種記憶內(in-memory)程式碼執行的能力，比Lazarus Group過去撰寫的Mac惡意程式，包含剛發現的AppleJeus，均更為進階。不過好消息是，由於Unioncrypto.pkg沒有簽章，在執行時會觸動macOS發出警告。另一方面，Lazarus Group的目標也非一般Mac用戶，因此尚不必擔心大規模的UnionCrypto攻擊，但這支惡意程式的出現可以知道，北韓駭客也逐漸學習新技巧，在Mac上透過無檔案攻擊手法增加匿蹤能力，各國應提高警覺，小心防範。
參考網址：https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16332