Il gruppo APT OceanLotus attacca i sistemi MacOS con una minaccia backdoor aggiornata
Nel novembre 2020, i ricercatori di malware hanno rilevato una nuova backdoor destinata ai dispositivi macOS. Compilata tre payload multistadio e dotata di innovative tecniche anti-rilevamento, questa nuova minaccia proviene molto probabilmente dal già noto gruppo APT (Advanced Persistent Threat) sostenuto dal Vietnam chiamato OceanLotus. Tra gennaio e aprile 2020, OceanLotus ha attaccato il ministero cinese per la gestione delle emergenze e il governo della provincia di Wuhan, apparentemente nel tentativo di rubare informazioni sulla risposta COVID-19 del paese. Sempre nel 2020, allo stesso gruppo APT sono state attribuite anche alcune campagne di spionaggio informatico contro utenti Android in Asia.
Chiamato anche APT32, OceanLotus esiste almeno dal 2013 ed è collegato a diversi importanti attacchi contro organizzazioni dei settori dei media, della ricerca e dell'edilizia. A differenza delle versioni precedenti di OceanLotus Backdoor del 2018, le ultime versioni sono state aggiornate con alcuni nuovi modelli comportamentali, tecniche per evitare il rilevamento e meccanismi per garantire la persistenza.
Gli obiettivi di OceanLotus non sono completamente a fuoco
Non sono stati ancora identificati obiettivi particolari per i più recenti attacchi OceanLotus; tuttavia, gli hacker sembrano puntare al mercato vietnamita a causa dell'uso della lingua vietnamita in alcuni file del malware. Anche l'esatto vettore iniziale dell'infezione non è ancora chiaro. A causa dell'aspetto del payload della prima fase che assomiglia a un documento di Word, i ricercatori suppongono che potrebbe essere tramite e-mail di phishing, sebbene sia stato osservato anche che OceanLotus APT utilizza siti Web danneggiati e app Google Play compromesse per diffondere altre minacce malware.
La ricerca mostra che gli aggressori hanno impacchettato la backdoor in un'applicazione camuffata da documento di Microsoft Word utilizzando l'icona di Word. Questa app è raggruppata in un archivio .zip, in cui il pacchetto contiene due payload: gli script della shell con i principali processi danneggiati e il falso file "Word" visualizzato durante l'esecuzione. Il nome del pacchetto è composto da caratteri speciali: tre byte ("efb880") nella codifica UTF-8 per evitare il rilevamento. Successivamente, il falso documento di Word può essere trovato in una cartella denominata "ALL tim nha Chi Ngoc Canada.doc", che tradotto approssimativamente dal vietnamita significa "trova la casa della signora Ngoc".
Il controllo del file .zip originale con la cartella, tuttavia, mostra che contiene tre caratteri di controllo Unicode speciali tra "." e "doc." Ciò fa sì che l'app bundle sembri un file Word "normale" per l'utente, ma il sistema operativo lo riconosce come un tipo di directory non supportato. Di conseguenza, il comando "Apri" predefinito esegue effettivamente il carico utile dannoso. Una volta completata, l'applicazione rilascia il payload della seconda fase come "ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def" che, a sua volta, esegue il payload della terza fase e quindi si cancella.
Il carico utile della terza fase ha le funzionalità principali della backdoor, come la raccolta di informazioni sul sistema operativo (comprese informazioni su processo e memoria, indirizzi MAC dell'interfaccia di rete, numero di serie) e crittografia e trasmissione dei dati ai server di comando e controllo degli hacker . Riceve inoltre comandi aggiuntivi dai server. Il nuovo OceanLotus Backdoor supporta anche altri comandi: download ed esecuzione di file, rimozione di file, esecuzione di comandi nel terminale e acquisizione di informazioni di configurazione.
A causa dei suoi presunti canali di distribuzione, come campagne e-mail di spam, applicazioni minacciose e siti Web compromessi, gli utenti di macOS non dovrebbero mai fare clic su collegamenti sospetti o aprire allegati da mittenti sconosciuti per evitare attacchi OceanLotus. Inoltre, le applicazioni devono essere scaricate solo dal sito Web ufficiale dello sviluppatore e da altre fonti attendibili.