Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.
Η ομάδα είναι γνωστή και ως APT-C-00 και APT32 και στοχεύει κυρίως κυβερνήσεις και εταιρείες στη Νοτιοανατολική Ασία. Νωρίτερα αυτόν το χρόνο, η ομάδα πραγματοποίησε εκστρατείες κατασκοπείας σχετικά με τον COVID-19, με στόχο την Κίνα.
Το νέο macOS backdoor παρουσιάζει κάποια κοινά χαρακτηριστικά (στον κώδικα και τη συμπεριφορά) με άλλα malware της OceanLotus, το οποίο δείχνει ότι όντως συνδέεται με τη συγκεκριμένη ομάδα.
Το δείγμα που παρατήρησαν οι ερευνητές, παρουσιάζεται ως έγγραφο του Word, αλλά είναι μια εφαρμογή που περιλαμβάνεται σε αρχείο ZIP, το οποίο διαθέτει ειδικούς χαρακτήρες στο όνομά του, σε μια προσπάθεια να αποφύγει τον εντοπισμό.
Σύμφωνα με την Trend Micro, το app bundle θεωρείται από το λειτουργικό σύστημα ως μη υποστηριζόμενος τύπος directory. Η εντολή “άνοιγμα” χρησιμοποιείται για την εκτέλεσή του.
Μέσα στο app bundle, οι ερευνητές ανακάλυψαν δύο αρχεία, ένα shell script που εκτελεί πολλές κακόβουλες λειτουργίες και ένα αρχείο Word που εμφανίζεται κατά την εκτέλεση.
Το shell script είναι υπεύθυνο για πολλά πράγματα, όπως για τη διαγραφή του χαρακτηριστικού file quarantine για τα αρχεία στο bundle και για την κατάργηση του χαρακτηριστικού file quarantine στο σύστημα, την αντιγραφή του εγγράφου Word σε ένα temp directory, το άνοιγμά του και την εξαγωγή ενός second-stage binary. Στη συνέχεια, το shell script αλλάζει τα δικαιώματα πρόσβασης και διαγράφει το malware app bundle και το έγγραφο του Word από το σύστημα.
Όσον αφορά το second stage payload, είναι υπεύθυνο για την εγκατάσταση ενός τρίτου payload, την παραμονή στο μολυσμένο σύστημα, την αλλαγή του timestamp του δείγματος με τη χρήση του touch command και τη διαγραφή του.
Το τρίτο payload περιέχει δύο βασικές λειτουργίες για τη συλλογή και αποστολή πληροφοριών του λειτουργικού συστήματος στους C&C servers, για τη λήψη πρόσθετων πληροφοριών επικοινωνίας και για την εκτέλεση δραστηριοτήτων backdoor.
Όπως και παλαιότερα malware της OceanLotus, έτσι και αυτό το macOS backdoor μπορεί να εκτελέσει διάφορες λειτουργίες με βάση τις ληφθείσες εντολές: λήψη μεγέθους αρχείου, λήψη και εκτέλεση αρχείου, αφαίρεση / λήψη / μεταφόρτωση αρχείου, έξοδος, εκτέλεση εντολών και λήψη πληροφοριών διαμόρφωσης.
Η Trend Micro συνιστά σε όλους τους οργανισμούς να εκπαιδεύσουν τους υπαλλήλους τους ώστε να μην ανοίγουν συνδέσμους ή συνημμένα από ύποπτες πηγές. Επίσης, απαραίτητη είναι η τακτική ενημέρωση των συστημάτων και των εφαρμογών και η χρήση αξιόπιστων προγραμμάτων ασφαλείας.
Πηγή: Security Week