安全研究人員遇到了一個新的macOS惡意軟體樣本,該樣本被認為是朝鮮黑客團體Lazarus所為。
該威脅的檢測率非常低,並且具有使其能夠從遠端位置檢索有效負載並將其執行在記憶體中的功能,這使取證分析變得更加困難。
交易平臺上的macOS威脅
惡意軟體研究人員Dinesh Devadoss週二提供了一個新的macOS惡意軟體樣本的雜湊值,該樣本可以從記憶體中載入mach-O可執行檔案並執行該檔案。
IOC:
md5: 6588d262529dc372c400bef8478c2eec
hxxps://unioncrypto.vip/
檢查VirusTotal上的樣本後,發現其檢測幾乎不存在。在撰寫本文時,只有四個防病毒引擎將其標記為惡意,在釋出時已增加到五個。
安全研究員和macOS黑客Patrick Wardle分析了Devadoss發現的惡意軟體,並確定與 兩個月前由MalwareHunterTeam歸因於Lazarus Group的另一個第一階段植入物存在“明顯重疊” 。
這個新樣本以UnionCryptoTrader的名稱打包,並託管在一個名為“ unioncrypto.vip”的網站上,該網站宣傳“智慧加密貨幣套利交易平臺”,但未提供下載連結。
該軟體包未簽名,這意味著開啟該軟體包將觸發來自作業系統(OS)的警告。
在今天釋出的詳細分析中,研究人員指出,該惡意軟體具有一個“後安裝”指令碼,該指令碼安裝了“ vip.unioncrypto.plist”啟動守護程式以實現永續性。該指令碼具有以下屬性:
將隱藏的plist(.vip.unioncrypto.plist)從應用程式的Resources目錄移至/ Library / LaunchDaemons
將其設定為由根擁有
建立一個/ Library / UnionCrypto目錄
將隱藏的二進位制檔案(.unioncryptoupdater)從應用程式的Resources目錄移至/ Library / UnionCrypto /
執行此二進位制檔案(/ Library / UnionCrypto / unioncryptoupdater)
通過將其RunAtLoad項設定為true,可以將隱藏的“ unioncryptoupdater”二進位制檔案設定為在每次系統重新引導時執行。根據Wardle的分析,它可以收集有關係統的基本資訊,例如序列號和OS版本。
它與命令和控制伺服器(C2)聯絡,後者可以提供要執行的有效負載。這表明“ unioncryptoupdater”是為攻擊的初始階段設計的。
Wardle發現:“這時,遠端命令和控制伺服器仍處於聯機狀態,它只是以“ 0”進行響應,這意味著沒有提供有效載荷。
缺少有效的證書和缺少的有效負載可能表明在攻擊者能夠準備操作的所有詳細資訊之前就已經發現了惡意軟體。
研究人員還解釋了惡意軟體如何實現有效載荷在記憶體中的執行,這是他四年前在BlackHat安全會議上提出的一種方法。
macOS無檔案惡意軟體
雖然在記憶體中執行檔案是Windows惡意軟體中的常見功能,但這種方法在macOS上很少見,並且剛剛開始流行。
Gmera是少數能夠做到這一點的惡意軟體家族之一,它是趨勢科技的研究人員 於9月發現的一種木馬,它也偽裝成線上交易應用程式。
《哨兵一號》的分析顯示 ,儘管當時的檢測率非常低,但Gmera仍能夠解碼並執行記憶體中的有效載荷,在這種情況下,這是一個模糊的指令碼。
AppleJeus模式
Wardle認為該惡意軟體是由Lazarus小組建立的,過去的證據支援該理論。
早在十月,MalwareHunterTeam發現攻擊者建立了一家假公司,該公司提供了一個名為JMT Trader的免費平臺來進行加密貨幣交易。在macOS或Windows上安裝它的任何人都會在系統上獲得後門。
這一切與卡巴斯基發現並歸因於與朝鮮有關的拉撒路APT小組的名為AppleJeus行動的攻擊極為相似。
在該攻擊中使用了木馬加密貨幣交易應用程式,並使用為公司發行的有效證書籤名,該證書在證書資訊中列出的地址處不存在。
關注紅數位 閱讀更多
混跡安全圈,每日必看!