您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

北韓駭客發展Mac無檔案攻擊程式手法

資安研究人員Dinesh Devadoss於12/3發現一支名為UnionCrypto 的Mac木馬程式樣本,為針對Mac平台的無檔案(Fileless)攻擊程式。該程式在記憶體內執行,僅少數防毒產品能偵測到(VirusTotal 上57個防毒引擎中,只有2個將UnionCrypto判斷為可疑程式)。Mr. Devadoss研判UnionCrypto來自北韓駭客組織Lazarus Group。

Lazarus Group過去經常冒充加密貨幣交易APP,誘騙加密貨幣用戶或是駭入交易平台管理員以感染其APP。Lazarus Group經常對macOS下手,但這次攻擊所展現的高明手法,卻是前所未見。Lazarus Group利用交易平台unioncrypto.vip,藉由UnionCrypoTrader.dmg (.dmg是macOS的映像檔格式) 檔案散布。利用指令開啟及安裝,映像檔內的Unioncrypto.pkg程式會安裝、啟動一個script,再建立開機服務(Launch Daemon)。開機服務目的在重覆安裝二進位執行檔unioncryptoupdater,能在Mac電腦每次開機時都執行。當unioncryptoupdater在Mac電腦成功執行時,會開始蒐集OS版本及基本系統資訊,並聯絡外部伺服器以進入第二階段的下載。

長期潛伏以及兩階段下載都是Lazarus Group的慣用手法。但Unioncrypto很特別的是,可直接在記憶體寫入與執行惡意程式碼。這種記憶內(in-memory)程式碼執行的能力,比Lazarus Group過去撰寫的Mac惡意程式,包含剛發現的AppleJeus,均更為進階。不過好消息是,由於Unioncrypto.pkg沒有簽章,在執行時會觸動macOS發出警告。另一方面,Lazarus Group的目標也非一般Mac用戶,因此尚不必擔心大規模的UnionCrypto攻擊,但這支惡意程式的出現可以知道,北韓駭客也逐漸學習新技巧,在Mac上透過無檔案攻擊手法增加匿蹤能力,各國應提高警覺,小心防範。

Reference

資料來源:
https://arstechnica.com/information-technology/2019/12/north-koreas-lazarus-hackers-up-their-game-with-fileless-mac-malware/?comments=1&post=38371395#
https://bitboycrypto.com/malware-laden-bogus-crypto-site-may-be-product-of-north-korean-hacking-group/
https://www.ithome.com.tw/news/134748
技術服務中心整理

Publish Date
2019/12/24 0:00:00