按Enter到主內容區
:::
新北市政府警察局刑事警察大隊
  • 友善列印
  • 回上一頁
  • 推到:facebook

北韓駭客將木馬程式藏於macOS雙因素認證程式中

  • 發布日期:109-06-17
  • 發布單位:刑事警察大隊

資安業者Malwarebyte日發現,北韓駭客集團Lazarus Group (又稱Hidden Cobra與APT 38)改變原本僅鎖定Windows與Linux作業系統之Dacls遠端存取木馬程式(Remote Access Trojan, RAT),轉而瞄準macOS用戶,透過感染合法支援macOS之雙因素認證應用程式MinaOTP進行散布,將Dacls植入於使用macOS作業系統之電腦,而該應用程式主要使用者為中文人士。
Dacls最早由資安業者奇虎360之網路安全研究實驗室(Qihoo 360 NetLab)發現,當時實驗室專家即認為Dacls係由Lazarus Group所開發,並指出Dacls為模組化之遠端木馬程式。Windows作業系統版Dacls可自遠端動態載入模組,而Linux作業系統版Dacls則是直接將模組內建於程式中。
依據Malwarebytes分析,當macOS用戶執行MinaOTP後,會透過開機排程程式LaunchDaemons或LaunchAgents建立一個屬性列表文件(Plist),指定為開機後須執行之程式,使其可長駐於電腦中,前者以登入之用戶身分執行程式,後者則是以管理員身分執行程式。此外,macOS版Dacls與Linux版Dacls架構相近,主要差別在於Linux版載入6個外掛程式,而macOS版則有7個,新增名為Socks之外掛程式,用於代理惡意程式與命令暨控制伺服器(Command and Control Server, C&C Server)間之網路流量。
參考網址:https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16394

 

    :::