北韓駭客發展出Mac版無檔案攻擊程式手法

安全研究人員發現，針對Mac平台的無檔案（fileless）攻擊程式在記憶體內執行，只有少數防毒產品偵測到。

安全研究人員Dinesh_Devadoss上周首先發現一隻名為UnionCrypto的Mac木馬程式樣本，研判來自北韓駭客組織Lazarus Group。一開始VirusTotal上的57個防毒引擎中，只有2個將之判斷為可疑程式。

Lazarus Group過去經常冒充加密貨幣交易app，誘騙加密貨幣用戶或是駭入交易平台管理員以感染其app。研究人員Patrick Wardle指出，Lazarus Group經常對macOS下手，但這次攻擊展現的高明手法，卻是前所未見。

最新的攻擊是利用交易平台unioncrypto.vip經由UnionCrypoTrader.dmg（.dmg是macOS的映像檔格式）散佈。據此研究人員相信Lazarus Group又成功故技重施，在加密交易app注入木馬程式。

利用指令開啟及安裝，這個映像檔內的Unioncrypto.pkg程式會安裝、啟動一個script，再建立開機服務（Launch Daemon），這個開機服務目的在重覆安裝二進位執行檔unioncryptoupdater，能在Mac電腦每次開機時都執行。當unioncryptoupdater在Mac電腦會開始蒐集OS版本及基本系統資訊，並聯絡外部伺服器以進入第二階段的下載。

研究人員說，長期潛伏以及兩階段下載都是Lazarus Group的慣用手法。但Unioncrypto很特別的是，可直接在記憶體寫入與執行惡意程式碼。這種記憶內（in-memory）程式碼執行的能力，比Lazarus Group過去撰寫的Mac惡意程式，包括剛發現的AppleJeus更為進階。

好消息是，由於Unioncrypto.pkg沒有簽章，會在執行時觸控macOS發出警告。另一方面，Lazarus Group的目標也非一般Mac用戶，因此尚不必擔心這次的UnionCrypto，但研究人員表示，最新木馬顯示北韓駭客也逐漸學習新技巧，透過無檔案攻擊手法增加匿蹤的能力。