和北韓有關連的黑客組織 Lazarus Group 最近把新版本的遠端存取木馬程式 Dacls 作為武器,將原本 Linux 版本的惡意程式移植為專門針對 Mac 操作系統,並透過木馬化的 macOS 用雙重認證 (2FA) 認用程式 MinaOTP 去傳播。
功能齊全的遠端存取木馬程式
Dacls 的功能十分齊存,包括執行指令、檔案管理、流量代理和蠕蟲掃瞄。這個惡意程式的 Mac 應用程式存放在「Contents/Resources/Base.lproj/」資料夾並偽裝為正常檔案,但是一開啟活動,便會製作一條清單指令裝置重啟後需要執行的檔案,而且清單內容是「硬編碼」,研究人員認為這確保了持久延續性,以及與 C&C伺服器通訊的資料。
惡意程式同時具備設定檔案,以 AES 加密保護,偽裝成 Apple Store 的資料庫檔案,而設定檔會透過 C&C 伺服器不時更新內容,安裝後的應用程式名叫 Mina,與 Dacls 偽裝成 MinaOTP 互相呼應。
收集資料傳送到 C&C 伺服器
當惡意程式與 C&C 伺服器取得連線後便會開始更新設定檔案,並且通過「getbasicinfo」和「heartbeat」上傳從受害者裝置身上收集到的資料,這兩個指令的編碼內容與 Linux 版本的 Dacls 完全相同。此外,它還會讀取 7 個模組,其中 6 個也出現於 Linux 版本,額外一個插件名為「SOCKS」是用作受害裝置與 C&C 伺服器的代理網絡流量,每個插件在設定檔案內都有自己的可調定部份,並於開啟插件時讀取。
為了與 C&C 伺服器連線,應用程式首先建立 TLS 連線,最後是把資料加密傳送,Mac 和 Linux 的版本都使用 WolfSSL 通訊,這是一種用於多個平台的開源 TLS。
七種功能插件
惡意程式首個插件是 CMD,用作接收和執行指令,作為對 C&C 伺服器的「reverse shell」,與 Linux 版惡意程式的插件「Bash」相似。第二個插件是 File,可以在資料夾內讀取、刪除、下載和搜尋檔案,Mac 版與 Linux 版的唯一分別在於 Mac 版沒有寫入能力。第三個插件是 Process,用於殺掉、執行、取得處理 IDs 和收集處理資料。
第四個插件是 Test,用於檢查被 C&C 伺服器指定的 IP 和埠連線。第五個插件是 RP2P,是避免受害者與攻擊者的設施直接連線的代理伺服器。最後一個由 Linux Dacls 轉移的插件是 LogSend,當中又包含了 3 個模組,分別檢查 log 伺服器、執行蠕蟲掃描和執行長期運作的系統命令,這個插件利用 HTTP post requests 傳送收集到的記錄資料。至於 Mac 版新增的 SOCKS 插件與 RP2P 相似,作為中介在裝置與 C&C 伺服器之間引導流量。
資料來源:Threat Post
