Computer Security De OceanLotus APT-groep valt MacOS-systemen aan met een...

De OceanLotus APT-groep valt MacOS-systemen aan met een bijgewerkte achterdeurbedreiging

oceanlotus apt malware-aanval In november 2020 ontdekten malwareonderzoekers een nieuwe achterdeur gericht op macOS-apparaten. Deze nieuwe dreiging is samengesteld uit drie meertraps-payloads en is uitgerust met innovatieve anti-detectietechnieken en komt hoogstwaarschijnlijk van de al bekende door Vietnam gesteunde Advanced Persistent Threat (APT) -groep genaamd OceanLotus. Tussen januari en april 2020 viel OceanLotus het Chinese Ministerie van Noodbeheer en de regering van de provincie Wuhan aan, kennelijk in een poging om informatie te stelen over de COVID-19-reactie van het land. Ook in 2020 werden enkele cyberspionagecampagnes tegen Android-gebruikers in Azië toegeschreven aan dezelfde APT-groep.

OceanLotus, ook wel APT32 genoemd, bestaat tenminste sinds 2013 en is gekoppeld aan verschillende grote aanvallen op organisaties uit de media-, onderzoeks- en bouwsector. In tegenstelling tot de oudere varianten van de OceanLotus Backdoor uit 2018, zijn de nieuwste versies bijgewerkt met enkele nieuwe gedragspatronen, technieken om detectie te voorkomen en mechanismen om persistentie te garanderen.

OceanLotus-doelen zijn niet volledig in focus

Er zijn nog geen specifieke doelen geïdentificeerd voor de meest recente OceanLotus-aanvallen; De hackers lijken echter op de Vietnamese markt te mikken vanwege het gebruik van de Vietnamese taal in sommige van de malware-bestanden. De exacte initiële vector van de infectie is ook nog onduidelijk. Vanwege het verschijnen van de payload in de eerste fase die lijkt op een Word-document, veronderstellen onderzoekers dat dit via phishing-e-mails kan zijn, hoewel OceanLotus APT ook is waargenomen dat het corrupte websites en gecompromitteerde Google Play-apps gebruikt om andere malwarebedreigingen te verspreiden.

Onderzoek toont aan dat de aanvallers de achterdeur hebben ingepakt in een applicatie die is vermomd als een Microsoft Word-document met het Word-pictogram. Deze app is gebundeld in een .zip-archief, waarbij de bundel twee payloads bevat: de shell-scripts met de belangrijkste beschadigde processen en het nep-'Word'-bestand dat wordt weergegeven bij uitvoering. De naam van de bundel bestaat uit speciale tekens - drie bytes ('efb880') in UTF-8-codering om detectie te voorkomen. Later kan het nep-Word-document worden gevonden in een map met de naam 'ALL tim nha Chi Ngoc Canada.doc', die Vrij vertaald uit het Vietnamees betekent 'zoek het huis van mevrouw Ngoc'.

Als u echter het originele .zip-bestand met de map controleert, blijkt dat het drie speciale Unicode-besturingstekens bevat tussen '.' en 'doc.' Deze zorgen ervoor dat de app-bundel er voor de gebruiker uitziet als een 'normaal' Word-bestand, maar het besturingssysteem herkent het als een niet-ondersteund maptype. Als gevolg hiervan voert de standaard 'Open'-opdracht feitelijk de schadelijke payload uit. Eenmaal voltooid, laat de applicatie de payload van de tweede fase vallen als 'ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def' die op zijn beurt de payload van de derde fase uitvoert en zichzelf vervolgens verwijdert.

De payload van de derde fase heeft de belangrijkste functies van de achterdeur, zoals het verzamelen van informatie over het besturingssysteem (inclusief proces- en geheugeninformatie, MAC-adressen van de netwerkinterface, serienummer) en het versleutelen en verzenden van de gegevens naar de Command-and-Control-servers van de hackers . Het ontvangt ook aanvullende opdrachten van de servers. De nieuwe OceanLotus Backdoor ondersteunt ook andere commando's: bestanden downloaden en uitvoeren, bestanden verwijderen, commando's uitvoeren in de terminal en configuratie-informatie ophalen.

Vanwege de vermeende distributiekanalen, zoals spam-e-mailcampagnes, bedreigende applicaties en gecompromitteerde websites, mogen macOS-gebruikers nooit op verdachte links klikken of bijlagen van onbekende afzenders openen om OceanLotus-aanvallen te voorkomen. Toepassingen mogen ook alleen worden gedownload van de officiële website van de ontwikkelaar en andere vertrouwde bronnen.

Bezig met laden...