北韓駭客發展出Mac版無檔案攻擊程式手法

在傳統的資安威脅中,駭客大多經由電子郵件、檔案或網站在受害系統上安裝惡意程式。但是近來卻經常聽見一種稱為無檔案(或無文件)攻擊模式開始流行,無檔案式威脅有別傳統惡意程式,不會透過惡意軟體或執行檔來感染系統,而是利用系統內建的工具和應用程式來發動攻擊,也就是利用系統工具來攻擊系統。

因為是利用系統工具程式來攻擊,並沒有惡意程式,所以傳統的防毒軟體並無法偵測到,著名的VirusTotal上70幾套防毒引擎幾乎都無法偵測到此類攻擊,實在讓人不寒而慄。

這次由北韓駭客發展出來的Mac版無檔案攻擊程式手法是一種名為UnionCrypto的Mac木馬程式,由Lazarus Group所作,最新的攻擊是利用交易平台unioncrypto.vip經由UnionCrypoTrader.dmg(.dmg是macOS的映像檔格式)散佈,駭客利用指令開啟及安裝,啟動一個script,再建立開機服務(Launch Daemon),這個開機服務目的在重覆安裝二進位執行檔unioncryptoupdater,能在Mac電腦每次開機時都執行,接下來會開始蒐集OS版本及基本系統資訊,並聯絡外部伺服器以進入第二階段的下載。

還好,由於Unioncrypto.pkg並沒有簽章,會在執行時觸動MacOS而發出警告,所以使用Mac電腦的朋友在安裝程式或瀏灠網站時,遇要安裝無簽章程式的畫面,一定要加以拒絕,才不會讓惡意程式有機會入侵你的電腦。

 

詳文請見ithome 原文新聞稿