信息來源:Cnbeta
援引外媒報道,一支有國家背景的黑客組織正利用現有 macOS 后門對越南地區(qū)的 Mac 用戶發(fā)起攻擊。根據趨勢科技近日發(fā)布的一份最新報告,這款升級版惡意軟件能讓攻擊者訪問受感染的 Mac,并監(jiān)控和竊取敏感信息。
圖 1-2. OceanLotus樣本(上)和最新OceanLotus樣本(下)的比較
圖 3. 樣本文件名、圖標和app bundle結構
圖 4. "." 和 "doc"之間的特殊字符
圖 5. 樣本的代碼簽名信息
圖 6. “ALL tim nha Chi Ngoc Canada” 文件內容
圖 7. 執(zhí)行文件后展示的文件
圖 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist
圖 9. 釋放文件的時間戳
圖 10. 加密的字符串
圖 11-12. 解密方法
報告指出,該惡意軟件以 ZIP 文件的形式進行傳播,并偽裝成 Word 文檔,通過釣魚電子郵件方式進行傳播。目前,使用該惡意軟件偽裝的 ZIP 文件能夠通過各種安全軟件的檢測。
一旦安裝在計算機上,該惡意軟件就會啟動一系列有效負載,這些有效負載會更改訪問權限并在系統上安裝后門。該后門程序使攻擊者可以偵聽和下載用戶文件,獲取有關計算機的其他信息以及上載其他惡意軟件。
趨勢科技認為,該后門程序與一個名為 OceanLotus 或 APT32 的黑客組織有關,該組織被認為與越南政府有聯系。 OceanLotus 以針對在越南工作的外國組織為目標而聞名,人們認為他們的目標是通過網絡間諜活動來支持越南擁有的公司。
研究人員寫道:“ OceanLotus等威脅組織正在積極更新惡意軟件變種,以逃避檢測并提高持久性”。由于該惡意軟件似乎是為特定地理區(qū)域內的針對性間諜活動而設計的,因此它不太可能給大多數macOS用戶帶來很大的風險。