Celas Trading Pro

圖片來源: 

卡巴斯基

安全公司卡巴斯基(Kaspersky Lab)發現,與北韓有關駭客組織Lazarus發動名為AppleJeus行動(Operation AppleJeus)的攻擊,藉由不明軟體植入用戶電腦,企圖竊取macOS及Windows PC用戶的加密貨幣及機密資訊。這也是Lazarus首次針對Mac電腦用戶發動攻擊。

卡巴斯基的全球研究與分析小組(GReAT)在調查亞洲一家加密貨幣交易平台時發現這項攻擊。這家平台公司的員工遭到一封電子郵件誘騙到看似合法網站下載了第三方加密貨幣交易軟體,進而感染木馬程式Fallchill。研究人員拆解木馬程式後循線追查到來源是Lazarus。

Lazarus是惡名昭彰駭客團體,被懷疑和北韓政府有關。該組織自2014年活動以來作亂不斷,被懷疑是入侵索尼影業、亞洲多國銀行及製造業者網路、甚至被指為是WannaCry 蠕蟲程式背後元兇。Lazarus之前也曾使用Fallchill來入侵金融機構。

卡巴斯基研究人員分析,該名員工下載的第三方加密貨幣交易軟體Celas Trading Pro本身看起來是合法軟體,但其中的更新器(updater)元件卻有問題。這個元件執行勘察任務,先蒐集受害機器基本資訊傳送給外部C&C伺服器,等攻擊者判斷受害機器是值得攻擊的,之後才會下載其他攻擊程式。FallChill就是由其更新器下載到用戶電腦中,而在安裝完成即開啟一系列後門程式來繞過驗證,讓Lazarus最終得以接管用戶電腦達到竊取資料,或是部署其他攻擊行動,如竊取加密貨幣等。

研究人員發現,Celas Trading Pro具有Comodo CA簽發的憑證,這讓它更難為防毒軟體偵測。事實上,追查這個軟體公司時,從它介接的網路只接受比特幣支付,研究人員認為這家公司十分可疑。

但更值得注意的是,為擴大受害者範圍,FallChill除了Windows PC外,還會感染macOS平台,這可能是Lazarus這個團體首度使用macOS版惡意程式發動攻擊,而這也是何以此次攻擊被稱為AppleJeus。研究人員相信不久後也會釋出Linux平台版本。

研究人員警告,這件事對使用第三方軟體的公司來說不啻一項警訊:千萬不要讓程式碼在系統上自動執行,而一個專業的公司網站、漂亮的公司欄資料、以及數位憑證都不能保證其中沒有後門程式。

 


Advertisement

更多 iThome相關內容