05/12/19
ATP-группа Lazarus, часто связываемая экспертами с правительством КНДР, вооружилась новой техникой взлома компьютеров под управлением macOS.
Аналитик ИБ-компании K7 Computing Динеш Девадосс (Dinesh Devadoss) обнаружил первое в арсенале Lazarus вредоносное ПО, выполняющееся в памяти Mac. Подобные бесфайловые программы работают исключительно в оперативной памяти компьютера, что позволяет им успешно обходить антивирусные решения, ищущие вредоносные файлы на жестких дисках.
Обнаруженный Девадоссом образец вредоносного ПО на этой неделе был изучен «гуру» безопасности Патриком Уордлом (Patrick Wardle). По его словам, вредонос является новым витком в развитии тактик, используемых Lazarus для незаметного заражения компьютеров.
Как и в других вредоносных операциях Lazarus (в частности, в операции AppleJeus ), новая атака начинается с установки жертвой вредоносного ПО, замаскированного под легитимное приложение для трейдинга криптовалют. Однако после запуска троян демонстрирует новый трюк: вторичная полезная нагрузка (именно ее функционал является вредоносным) выполняется непосредственно в памяти без установки каких-либо файлов на жесткий диск.
Как пояснил Уордл, для этого вредонос сначала загружает и расшифровывает полезную нагрузку, а затем с помощью вызовов API в macOS создает так называемый образ файлового объекта. Это позволяет вредоносу запускаться в памяти, как если бы он был установлен локально.
С какой целью Lazarus обзавелась новым инстументом, пока неясно. По словам Уордла, в настоящее время удаленный C&C-сервер остается online и отправляет в ответ '0', что свидетельствует об отсутствии какой-либо полезной нагрузки.
