示意圖,Photo by Wesson Wang on Unsplash

資安業者Malwarebytes近日揭露,北韓駭客集團 Lazarus Group(或稱Hidden Cobra與APT 38)改造了原本鎖定Windows及Linux平臺的Dacls遠端存取木馬程式(RAT),轉而瞄準macOS用戶,並藉由支援macOS的雙因素認證程式MinaOTP進行散布,而MinaOTP主要的用戶為中文人士。

其實是奇虎360的網路安全研究實驗室(Qihoo 360 NetLab)在去年底率先發現Dacls,指出該木馬程式的命令暨控制伺服器(C&C)協定採用了TLS與RC4雙層加密,配置檔案也使用AES加密機制,還支援C&C指令的動態更新,而且它是個模組化的木馬,Windows版可自遠端動態載入模組,Linux版的模組則直接內建在程式中。

奇虎360去年就認為Dacls是由 Lazarus Group所開發,但當時只有鎖定Windows及Linux的版本,Malwarebytes則是在今年看到macOS版的Dacls,而且寄生在雙因素認證程式MinaOTP上。

Malwarebytes的分析顯示,當macOS用戶執行了MinaOTP之後,它會透過LaunchDaemons或LaunchAgents建立一個屬性列表文件(plist),指定在開機後必須執行的程式,以讓它長駐在電腦上,而前者會以登入用戶的身分執行程式,後者則是以管理員身分執行程式。

此外,macOS版與Linux版的Dacls架構較為相近,主要的不同在於Linux版載入了6個外掛程式,而macOS版則有7個,它們分別是用來接受與執行命令的CMD plugin,讀取、刪除、下載或搜尋目錄檔案的File Plugin,關閉、移除、取得程序ID或蒐集程序資訊的Process plugin,可用來檢查C&C所指定傳輸埠的Test plugin、作為傳輸代理伺服器的RP2P plugin,以及掃描網路或執行長期運作系統命令的Logsend plugin,以及以Socks4作為代理通訊埠的Socks plugin。

Malwarebytes指出,他們相信macOS版的Dacls同樣來自Lazarus Group,該集團從2009年便開始執行各種網路間諜及犯罪行為,不僅是全球最幹練的駭客集團之一,也精通於替不同的平臺客製化惡意程式,新的發現顯示Lazarus Group依然積極發展可為之所用的惡意程式工具。


Advertisement

更多 iThome相關內容