Computer Security OceanLotus APT Group angriber MacOS-systemer med en...

OceanLotus APT Group angriber MacOS-systemer med en opdateret bagdørstrussel

oceanlotus apt malware angreb I november 2020 opdagede malware-forskere en ny bagdør målrettet mod macOS-enheder. Denne nye trussel er sammensat af tre flertrins nyttelast og udstyret med innovative antidetektionsmetoder, og den kommer sandsynligvis fra den allerede kendte Vietnam-backede Advanced Persistent Threat (APT) -gruppe kaldet OceanLotus. Mellem januar og april 2020 angreb OceanLotus Kinas beredskabsministerium og Wuhan-provinsens regering tilsyneladende i et forsøg på at stjæle efterretning angående landets COVID-19-respons. Igen i 2020 er nogle cyberspionagekampagner mod Android-brugere i Asien også blevet tilskrevet den samme APT-gruppe.

Også kaldet APT32 eksisterer OceanLotus i det mindste siden 2013 og er knyttet til flere større angreb mod organisationer fra medierne, forskningen og byggesektoren. I modsætning til de ældre varianter af OceanLotus Backdoor fra 2018 er de nyeste versioner blevet opdateret med nogle nye adfærdsmønstre, teknikker til at undgå afsløring og mekanismer til at sikre vedholdenhed.

OceanLotus-mål er ikke helt i fokus

Der er ikke identificeret særlige mål for de seneste OceanLotus-angreb endnu; hackerne ser imidlertid ud til at sigte mod det vietnamesiske marked på grund af brugen af det vietnamesiske sprog i nogle af malware-filerne. Den nøjagtige oprindelige vektor for infektionen er også stadig uklar. På grund af udseendet af den første trins nyttelast, der ligner et Word-dokument, antager forskere, at det kan være via phishing-e-mails, selvom OceanLotus APT også er blevet observeret at bruge beskadigede websteder og kompromitteret Google Play Apps til at sprede andre malware-trusler.

Forskning viser, at angriberne har pakket bagdøren i en applikation forklædt som et Microsoft Word-dokument ved hjælp af Word-ikonet. Denne app er samlet i et .zip-arkiv, hvorved bundtet indeholder to nyttelast - shell-scripts med de vigtigste beskadigede processer og den falske 'Word' -fil, der vises ved udførelse. Bundtets navn består af specialtegn - tre-bytes ('efb880 ") i UTF-8-kodning for at undgå detektion. Senere kan den falske Word-doc findes i en mappe med navnet' ALL tim nha Chi Ngoc Canada.doc ', som groft oversat fra vietnamesisk betyder 'find fru Ngocs hus.'

Kontrol af den originale .zip-fil med mappen viser imidlertid, at den indeholder tre specielle Unicode-kontroltegn mellem '.' og 'dok.' Disse får appbunten til at ligne en 'normal' Word-fil for brugeren, men operativsystemet genkender den som en ikke-understøttet bibliotektype. Som et resultat udfører standardkommandoen 'Åbn' faktisk den skadelige nyttelast. Når den er afsluttet, falder applikationen anden-trins nyttelast som 'ALL tim nha Chi Ngoc Canada .?doc/Contents/Resources/configureDefault.def', der igen kører tredje-trins nyttelasten og derefter sletter sig selv.

Tredje-trins nyttelast har bagdørens vigtigste funktioner, såsom at indsamle oplysninger om operativsystemet (inklusive proces- og hukommelsesinformation, netværksgrænseflade MAC-adresser, serienummer) og kryptering og transmission af data til hackernes Command-and-Control-servere . Det modtager også yderligere kommandoer fra serverne. Den nye OceanLotus Backdoor understøtter også andre kommandoer - download og udførelse af filer, fjernelse af filer, kørsel af kommandoer i terminalen og hentning af konfigurationsoplysninger.

På grund af dens formodede distributionskanaler, som spam-e-mail-kampagner, truende applikationer og kompromitterede websteder, bør macOS-brugere aldrig klikke på mistænkelige links eller åbne vedhæftede filer fra ukendte afsendere for at undgå OceanLotus-angreb. Applikationer skal også kun downloades fra udviklerens officielle hjemmeside og andre pålidelige kilder.

Indlæser...