北韓駭客把間諜程式藏在macOS的雙因素認證程式中

資安業者Malwarebytes近日揭露，北韓駭客集團 Lazarus Group（或稱Hidden Cobra與APT 38）改造了原本鎖定Windows及Linux平臺的Dacls遠端存取木馬程式（RAT），轉而瞄準macOS用戶，並藉由支援macOS的雙因素認證程式MinaOTP進行散布，而MinaOTP主要的用戶為中文人士。

其實是奇虎360的網路安全研究實驗室（Qihoo 360 NetLab）在去年底率先發現Dacls，指出該木馬程式的命令暨控制伺服器（C&C）協定採用了TLS與RC4雙層加密，配置檔案也使用AES加密機制，還支援C&C指令的動態更新，而且它是個模組化的木馬，Windows版可自遠端動態載入模組，Linux版的模組則直接內建在程式中。

奇虎360去年就認為Dacls是由 Lazarus Group所開發，但當時只有鎖定Windows及Linux的版本，Malwarebytes則是在今年看到macOS版的Dacls，而且寄生在雙因素認證程式MinaOTP上。

Malwarebytes的分析顯示，當macOS用戶執行了MinaOTP之後，它會透過LaunchDaemons或LaunchAgents建立一個屬性列表文件（plist），指定在開機後必須執行的程式，以讓它長駐在電腦上，而前者會以登入用戶的身分執行程式，後者則是以管理員身分執行程式。

此外，macOS版與Linux版的Dacls架構較為相近，主要的不同在於Linux版載入了6個外掛程式，而macOS版則有7個，它們分別是用來接受與執行命令的CMD plugin，讀取、刪除、下載或搜尋目錄檔案的File Plugin，關閉、移除、取得程序ID或蒐集程序資訊的Process plugin，可用來檢查C&C所指定傳輸埠的Test plugin、作為傳輸代理伺服器的RP2P plugin，以及掃描網路或執行長期運作系統命令的Logsend plugin，以及以Socks4作為代理通訊埠的Socks plugin。

Malwarebytes指出，他們相信macOS版的Dacls同樣來自Lazarus Group，該集團從2009年便開始執行各種網路間諜及犯罪行為，不僅是全球最幹練的駭客集團之一，也精通於替不同的平臺客製化惡意程式，新的發現顯示Lazarus Group依然積極發展可為之所用的惡意程式工具。