OceanLotusハッカーにリンクされた新しいmacOSバックドアマルウェア

Appleユーザーは、macOSを標的とする新しいマルウェアのリスクにさらされています. トレンドマイクロの研究者が発見, キャンペーンはOceanLotusハッキンググループに関連しています, ベトナム政府に関連している可能性が最も高い.

ハッキンググループはベトナムの外国組織を標的にしています, メディアなど, リサーチ, と建設. 攻撃は、サイバースパイを念頭に置いて実行される可能性が最も高いです。, 研究者はハッカーは’ 動機はあいまいです.

新しいマルウェアは、攻撃者が機密情報を盗むためのアクセスを提供するmacOSバックドアです。. マルウェアのコードが類似しているため、トレンドマイクロは調査結果をOceanLotusにリンクしました. コードは以前のキャンペーンのサンプルと比較されました.

最近、OceanLotusグループに関連すると思われる新しいバックドアを発見しました. この新しいバリアントの更新の一部 (トレンドマイクロによってBackdoor.MacOS.OCEANLOTUS.Fとして検出されました) 新しい動作とドメイン名を含める. 執筆時点, このサンプルは、他のウイルス対策ソリューションではまだ検出されていません, 会社は彼らのレポートに書いた.

OceanLotusハッカーにリンクされた新しいmacOSバックドア

攻撃は、Word文書として隠されたZipファイルを実行するようにターゲットをだましているフィッシングメールから始まります。. このファイルは、一連のZipフォルダの奥深くに隠されている特定の文字を利用してAV検出をバイパスします. これがトレンドマイクロの説明です:

検出を回避するために使用するもう1つの手法は、アプリバンドル名に特殊文字を追加することです。. ユーザーがmacOSFinderアプリまたはターミナルコマンドラインを介して偽のドキュメントフォルダを探すとき, フォルダの名前が表示されます “ALL tim nha Chi Ngoc Canada.doc” (“tìmnhàChịNgọc” 大まかに次のように変換されます “夫人を見つける. ゴックの家”). でも, フォルダを含む元のZipファイルを確認すると 3 間の予期しないバイト “.” と “doc”.

macOSは、アプリバンドルをサポートされていないディレクトリタイプと見なします. デフォルトのアクションはを使用することなので、 “開いた” 指図, 悪意のあるアプリが実行されます. “さもないと, 接尾辞が特殊文字のない.docの場合, Microsoft Wordは、アプリバンドルをドキュメントとして開くために呼び出されます; しかし、それは有効な文書ではないので, アプリはそれを開くことができません,” 研究者は追加します.

新しいmacOSバックドア機能が古いOceanLotusサンプルの機能と類似していることは注目に値します.

10月中, セキュリティ研究者は別のマルウェアをリンクしました, クラーケンとして知られています, OceanLotusハッカーに. マルウェアのハードコードされたターゲットURLが、研究者が分析を行っている間に削除されたため, 攻撃を特定の脅威グループに帰することはほぼ不可能でした. でも, クラーケン攻撃のいくつかの要素は、ベトナムのグループを彷彿とさせます.

OceanLotusマルウェアは、標的型攻撃キャンペーンで特定のネットワークに感染することに焦点を当てています. 犯罪グループは、アジアの企業や政府機関に対してキャンペーンを実施します: ラオス, カンボジア, ベトナム, とフィリピン.