مرتبط بودن بدافزار مخفی MacOS با Lazarus APT

دسته بندی ها : اخبار ۱۹ آذر ۱۳۹۸ آپا دانشگاه تبریز 52 بازدید

محققان یک تروجان MacOS را که در پشت یک پلتفرم تجارت کریپتو جعلی پنهان شده بودا، کشف کردند. تصور می شود که کار هکرهای کره شمالی تحت حمایت دولت است همان گروهی که پشت WannaCry بودند.

محققان یک بدافزار جدید MacOS را شناسایی کردند که می توانند از راه دور کد را در حافظه اجرا کنند. معتقدند این مساله کار گروه قدرتمند APT کره شمالی به نام  (Lazarus)لازاروس است.

محقق امنیتی Dinesh Devadoss در توییتر یک hash برای یک تروجان MacOS پست کرد. وی کشف کرد که این تروجان در پشت یک پلتفرم تجارت کریپتو جعلی به نام Union Crypto Trader پنهان شده است و می تواند بیشتر نرم افزارهای ضد ویروس را دور بزند.

بعد از این پست Devadoss در توییتر، محقق امنیتی و هکر MacOS  به نام Patrick Wardle ، نگاهی عمیق تر به این بدافزار  کرد و خاطرنشان کرد که روش تحویل تروجان — از طریق بسته نصب کننده رمز ارز، UnionCryptoTrader.pkg – نشانه بارز دخالت Lazarus است.

وی در یک پست وبلاگ نوشت : “گروه Lazarus میل به هدف قرار دادن کاربران یا سرورهای مبادلات رمز ارز ها دارد. و روش عملی آنها  برای رسیدن به چنین اهدافی از طریق شرکت رمز ارز جعلی و برنامه‌های کاربردی تجاری  است.

طبق گزارش شخصی درباره بدافزار : در واقع، حمله تازه کشف شده از این الگو پیروی می کند، در حالی که فایل نصب کننده در وب سایتی به نام “Unioncrypto.vip” میزبانی می شود که یک “پلت فرم معاملاتی هوشمند رمزارز” را تبلیغ می کند اما هیچ لینک بارگیری در اختیار شما قرار نمی دهد.

رمز ارز ها (کریپتوکارنسی) فقط یک مورد اصلی فعالیت برای Lazarus است، گروهی که از طرف دولت کره شمالی حمایت مالی می شود و قبلاً در اوایل سال جاری دیده می شد که در حال راه اندازی کمپین های گسترده علیه تجارت رمزارزها بودند.

همچنین اعتقاد بر این است که گروه فعال و خطرناک APT در پشت حمله WannaCry نیز است که در سال ۲۰۱۷ باعث میلیون ها دلار خسارت اقتصادی شد و همچنین در سال ۲۰۱۴ حمله ای قابل توجه علیه Sony Pictures Entertainment انجام داد. حتی به نظر می رسد که یک زیرشرکت از خود ایجاد کرده است که  وظیفه آن سرقت پول از بانکها برای تأمین بودجه عملیات سایبری-جنایی Lazarus است.

Wardle گفت که تروجان تازه شناسایی شده MacOS همچنین نشان می دهد که Lazarus  در حال ارتقا مهارت های خود است، و خاطرنشان کرد: “این نمونه (جدید) حاوی قابلیت های نسبتاً پیشرفته ای است، که قبلاً در نرم افزارهای مخرب MacOS هرگز ندیده ام.”

Wardle این بدافزار را قدم به قدم تجزیه و تحلیل می کند تا نشان دهد چگونه می تواند به طور مستقیم از حافظه در MacOS بارگیری و اجرا کند. وی گفت، پس از اینکه فعال شد،  در پایان فرآیند نصب، یک اسکریپت را اجرا می کند، هدف از آن ، نصب یک  راه انداز برنامه دایمی است.

او در پست خود نوشت : “به طور خاص، این اسکریپت این کار ها را انجام خواهد داد: یک لیست پنهان (.vip.unioncrypto.plist) را از فهرست منابع برنامه به مسیر

/ Library / LaunchDaemons منتقل می کند. آن را به دسترسی ریشه مجهز می کند. دایرکتوری / Library / UnionCrypto ایجاد می کند. یک باینری مخفی (.unioncryptoupdater) را از فهرست منابع برنامه به / Library / UnionCrypto / منتقل می کند. آن را اجرا می کند؛ [و]  این باینری (/ Library / UnionCrypto / Unioncryptoupdater) را اجرا می کند، “.

Wardle گفت، سپس این بدافزار از کاربر می خواهد تا اعتبار خود را وارد کند تا نصب را تکمیل کند، پس از اتمام کار، باینری Unioncryptoupdater  را به صورت در حال اجرا و نصب شده همیشگی رها می کند. این اجازه می دهد تا نرم افزارهای مخرب توانایی اصلی خود را بر روی یک دستگاه آلوده داشته باشند: “وی نوشت:” اجرای خالص در حافظه از یک بار از راه دور بارگیری شده ” وی این توانایی را” جذاب “خواند.

Wardle گفت، یک خبر خوب در مورد کشف آخرین بدافزار Lazarus این است که میانگین کاربران Mac نیازی به نگرانی در مورد هدف قرار گرفتن آن ندارند. علاوه بر این، از آنجا که بسته نصب نشده است، macOS در صورت تلاش برای باز کردن آن ، به کاربران هشدار می دهد.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!