北韓駭客將木馬程式藏於macOS雙因素認證程式中

• 發布日期：109-10-06
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 北韓駭客將木馬程式藏於macOS雙因素認證程式中
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16394

資安業者Malwarebytes近日發現，北韓駭客集團Lazarus Group (又稱Hidden Cobra與APT 38)改變原本僅鎖定Windows與Linux作業系統之Dacls遠端存取木馬程式(Remote Access Trojan, RAT)，轉而瞄準macOS用戶，透過感染合法支援macOS之雙因素認證應用程式MinaOTP進行散布，將Dacls植入於使用macOS作業系統之電腦，而該應用程式主要使用者為中文人士。
Dacls最早於去年底由資安業者奇虎360之網路安全研究實驗室(Qihoo 360 NetLab)發現，當時實驗室專家即認為Dacls係由Lazarus Group所開發，並指出Dacls為模組化之遠端木馬程式。Windows作業系統版Dacls可自遠端動態載入模組，而Linux作業系統版Dacls則是直接將模組內建於程式中。
駭客集團於4月8日將受感染之MinaOTP以名稱TinkaOTP上傳至惡意軟體分析服務VirusTotal，當時並未檢測出惡意程式，現階段59個防毒引擎中，已有23家可檢測到該惡意程式。
依據Malwarebytes分析，當macOS用戶執行MinaOTP後，會透過開機排程程式LaunchDaemons或LaunchAgents建立一個屬性列表文件(Plist)，指定為開機後須執行之程式，使其可長駐於電腦中，前者以登入之用戶身分執行程式，後者則是以管理員身分執行程式。此外，macOS版Dacls與Linux版Dacls架構相近，主要差別在於Linux版載入6個外掛程式，而macOS版則有7個，新增名為Socks之外掛程式，用於代理惡意程式與命令暨控制伺服器(Command and Control Server, C&C Server)間之網路流量。
資料來源：
https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/
https://www.scmagazine.com/home/security-news/cybercrime/2fa-app-weaponized-to-infect-mac-users-with-dacls-rat/
https://www.bleepingcomputer.com/news/security/north-korean-hackers-infect-real-2fa-app-to-compromise-macs/
技術服務中心整理