OSX / NukeSped

Nordkoreas erfolgreichste Hacking-Gruppe ist zweifellos die Lazarus APT (Advanced Persistent Threat). Sicherheitsexperten glauben, dass diese Hacking-Gruppe direkt von den nordkoreanischen Gouverneuren gesponsert wird und wahrscheinlich dafür bezahlt wird, dass sie die Gebote von Kim Jong-un macht. Zu ihrem umfangreichen Arsenal an Hacking-Tools gehört der NukeSped RAT (Remote Access Trojaner). Bisher wurde NukeSped RAT nur für Geräte entwickelt, auf denen Windows ausgeführt wird. Es scheint jedoch, dass die Lazarus-Hacking-Gruppe beschlossen hat, ihre Reichweite zu erweitern und die NukeSped-RAT neu zu gestalten, sodass die Bedrohung nun auch auf Mac-Systeme abzielen kann. Der Name der neuen NukeSped RAT-Variante lautet OSX / NukeSped.

Ausbreitungsmethoden

Malware-Forscher haben zwei Verbreitungsmethoden der Lazarus-Hacking-Gruppe entdeckt:

• Eine gefälschte Adobe Flash-Datei, die eine Originalkopie der Anwendung zusammen mit einem beschädigten Modul enthält, das das Zielsystem infizieren soll. Wenn die Benutzer die Datei ausführen, wird ihnen eine Diashow angezeigt, die sie ablenken soll, während die Malware im Hintergrund ausgeführt wird.
• Spam-E-Mails mit einem kompromittierten Makro-Anhang. Die angehängte Datei hat die Form eines Dokuments und soll wie ein südkoreanischer psychologischer Test wirken.

Derzeit scheinen sich die Autoren der OSX / NukeSped-Malware mehr auf die erste Methode zu verlassen, da dies der neueste Infektionsvektor ist, den sie verwendet haben.

Fähigkeiten

Nach der Infektion des Zielhosts sorgt die Bedrohung mit OSX / NukeSped dafür, dass das System dauerhaft bleibt, sodass die Bedrohung jedes Mal ausgeführt wird, wenn Benutzer ihren Mac neu starten. Als Nächstes stellt die OSX / NukeSped-Malware sicher, dass eine Verbindung zum C & C-Server (Command & Control) des Angreifers hergestellt wird, dessen Adresse in der Konfigurationsdatei der Bedrohung gespeichert ist. Nach erfolgreicher Verbindung mit dem C & C-Server kann die Bedrohung durch OSX / NukeSped:

• Tötungsprozess.
• Remote-Befehle ausführen.
• Sammeln Sie Daten zur Konfiguration, Software und Hardware des Systems.
• Laden Sie Dateien von angegebenen URLs herunter und führen Sie sie aus.
• Dateien hochladen und ausführen.
• Überprüfen Sie die Konfiguration.
• Selbstaktualisierung.
• Beenden Sie die Verbindung zum C & C-Server für eine bestimmte Dauer.

Die Lazarus-Hacking-Gruppe ist ein Bedrohungsakteur, der ernst genommen werden sollte. Es ist bemerkenswert, dass sie sich entschieden haben, auch auf OSX-Computer abzuzielen, da dies ihre Reichweite erheblich erweitert. Stellen Sie sicher, dass Ihr System durch eine seriöse Anti-Malware-Anwendung geschützt ist, und vergessen Sie nicht, die entsprechenden Updates regelmäßig anzuwenden.