Apple-Benutzer sind dem Risiko ausgesetzt, dass neue Malware auf macOS abzielt. Entdeckt von Trend Micro-Forschern, Die Kampagne ist mit der OceanLotus-Hacking-Gruppe verbunden, höchstwahrscheinlich mit der vietnamesischen Regierung verbunden.
Die Hacking-Gruppe zielt auf ausländische Organisationen in Vietnam ab, wie Medien, Forschung, und Bau. Die Angriffe werden höchstwahrscheinlich im Hinblick auf Cyberspionage durchgeführt, obwohl Forscher sagen, dass die Hacker’ Motive sind dunkel.
Die neue Malware ist eine MacOS-Hintertür, mit der Angreifer vertrauliche Informationen stehlen können. Trend Micro hat die Ergebnisse aufgrund von Ähnlichkeiten im Code der Malware mit OceanLotus verknüpft. Der Code wurde mit Beispielen früherer Kampagnen verglichen.
Wir haben kürzlich eine neue Hintertür entdeckt, von der wir glauben, dass sie mit der OceanLotus-Gruppe verwandt ist. Einige der Updates dieser neuen Variante (von Trend Micro als Backdoor.MacOS.OCEANLOTUS.F erkannt) Fügen Sie neues Verhalten und Domainnamen hinzu. Zum Zeitpunkt des Schreibens, Dieses Beispiel wird von anderen Antimalwarelösungen noch nicht erkannt, Das Unternehmen schrieb in ihrem Bericht.
Neue macOS Backdoor mit OceanLotus-Hackern verknüpft
Der Angriff beginnt mit einer Phishing-E-Mail, die das Ziel dazu verleitet, eine als Word-Dokument verborgene Zip-Datei auszuführen. Die Datei umgeht die AV-Erkennung, indem bestimmte Zeichen verwendet werden, die tief in einer Reihe von Zip-Ordnern versteckt sind. So erklärt es Trend Micro:
Eine andere Technik, mit der die Erkennung umgangen wird, ist das Hinzufügen von Sonderzeichen zum Namen des App-Bundles. Wenn ein Benutzer über die macOS Finder-App oder die Terminal-Befehlszeile nach dem gefälschten Dokumentordner sucht, Der Name des Ordners wird angezeigt “ALLE suchen nach Chi Ngoc Canada.doc” (“finde Frau Ngocs Haus” grob übersetzt zu “finde Frau. Ngocs Haus”). Jedoch, Das Überprüfen der ursprünglichen Zip-Datei, die den Ordner enthält, wird angezeigt 3 unerwartete Bytes zwischen “.” und “doc”.
macOS sieht das App-Bundle als nicht unterstützten Verzeichnistyp. Da die Standardaktion die Verwendung der ist “öffnen” Befehl, Die bösartige App wird ausgeführt. “Sonst, wenn das Postfix .doc ohne Sonderzeichen ist, Microsoft Word wird aufgerufen, um das App-Bundle als Dokument zu öffnen; aber da es kein gültiges Dokument ist, Die App kann es nicht öffnen,” Die Forscher fügen hinzu.
Es ist bemerkenswert, dass die neuen MacOS-Backdoor-Funktionen denen des alten OceanLotus-Beispiels ähneln.
Im Oktober, Sicherheitsforscher haben eine andere Malware verlinkt, bekannt als Kraken, zu den OceanLotus-Hackern. Weil die fest codierte Ziel-URL der Malware während der Analyse durch die Forscher entfernt wurde, Es war fast unmöglich, den Angriff einer bestimmten Bedrohungsgruppe zuzuordnen. Jedoch, Einige Elemente des Kraken-Angriffs erinnern an die vietnamesische Gruppe.
Die OceanLotus-Malware hat sich darauf konzentriert, bestimmte Netzwerke in gezielten Angriffskampagnen zu infizieren. Die kriminelle Gruppe führt Kampagnen gegen Unternehmen und Regierungsbehörden in Asien durch: Laos, Kambodscha, Vietnam, und die Philippinen.