Malware is
a new round in the development of tactics used by Lazarus to invisibly infect
Macs.
The Lazarus
APT group, often linked by experts to the DPRK government, has been armed with
new macOS hacking techniques.
K7
Computing Security Analyst Dinesh Devadoss discovered the first malware in the
Lazarus arsenal to run in Mac memory. Such file-free programs work exclusively
in the computer’s RAM, which allows them to successfully bypass anti-virus
solutions that look for malicious files on hard drives.
A malware
sample discovered by Devadoss this week was examined by security guru Patrick
Wardle. According to him, malware is a new round in the development of tactics
used by Lazarus to quietly infect computers.
As in other
Lazarus malicious operations (in particular, in AppleJeus operation), a new
attack begins with the victim installing malware disguised as a legitimate
cryptocurrency trading application. However, after launching the trojan, it
demonstrates a new trick: the secondary payload (its functionality is harmful)
is executed directly in memory without installing any files on the hard drive.
As Wardle
explained, for this, the malware first downloads and decrypts the payload, and
then creates the so-called image of the file object using API calls on macOS.
This allows the malware to run in memory as if it were installed locally.
For what
purpose Lazarus has acquired a new "toy", it is not yet clear.
According to Wardle, currently the remote C&C server remains online and
sends a '0' in response, which indicates the absence of any payload.
Группировка
Lazarus обзавелась собственным бесфайловым вредоносом
Вредонос является новым витком в развитии тактик,
используемых Lazarus для незаметного заражения Mac.
APT-группа Lazarus, часто связываемая экспертами с
правительством КНДР, вооружилась новой техникой взлома компьютеров под
управлением macOS.
Аналитик ИБ-компании K7 Computing Динеш Девадосс (Dinesh
Devadoss) обнаружил первое в арсенале Lazarus вредоносное ПО, выполняющееся в
памяти Mac. Подобные бесфайловые программы работают исключительно в оперативной
памяти компьютера, что позволяет им успешно обходить антивирусные решения,
ищущие вредоносные файлы на жестких дисках.
Обнаруженный Девадоссом образец вредоносного ПО на этой
неделе был изучен «гуру» безопасности Патриком Уордлом (Patrick Wardle). По его
словам, вредонос является новым витком в развитии тактик, используемых Lazarus
для незаметного заражения компьютеров.
Как и в других вредоносных операциях Lazarus (в частности, в
операции AppleJeus ), новая атака начинается с установки жертвой вредоносного
ПО, замаскированного под легитимное приложение для трейдинга криптовалют.
Однако после запуска троян демонстрирует новый трюк: вторичная полезная
нагрузка (именно ее функционал является вредоносным) выполняется
непосредственно в памяти без установки каких-либо файлов на жесткий диск.
Как пояснил Уордл, для этого вредонос сначала загружает и
расшифровывает полезную нагрузку, а затем с помощью вызовов API в macOS создает
так называемый образ файлового объекта. Это позволяет вредоносу запускаться в
памяти, как если бы он был установлен локально.
С какой целью Lazarus обзавелась новой «игрушкой», пока
неясно. По словам Уордла, в настоящее время удаленный C&C-сервер остается
online и отправляет в ответ '0', что свидетельствует об отсутствии какой-либо
полезной нагрузки.
Ну ни фига себе!
ОтветитьУдалитьДельная статья.
ОтветитьУдалить