Σάββατο, 23 Ιανουαρίου, 21:05
Αρχική security Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.

macOS backdoor

Η ομάδα είναι γνωστή και ως APT-C-00 και APT32 και στοχεύει κυρίως κυβερνήσεις και εταιρείες στη Νοτιοανατολική Ασία. Νωρίτερα αυτόν το χρόνο, η ομάδα πραγματοποίησε εκστρατείες κατασκοπείας σχετικά με τον COVID-19, με στόχο την Κίνα.

Το νέο macOS backdoor παρουσιάζει κάποια κοινά χαρακτηριστικά (στον κώδικα και τη συμπεριφορά) με άλλα malware της OceanLotus, το οποίο δείχνει ότι όντως συνδέεται με τη συγκεκριμένη ομάδα.

Το δείγμα που παρατήρησαν οι ερευνητές, παρουσιάζεται ως έγγραφο του Word, αλλά είναι μια εφαρμογή που περιλαμβάνεται σε αρχείο ZIP, το οποίο διαθέτει ειδικούς χαρακτήρες στο όνομά του, σε μια προσπάθεια να αποφύγει τον εντοπισμό.

Σύμφωνα με την Trend Micro, το app bundle θεωρείται από το λειτουργικό σύστημα ως μη υποστηριζόμενος τύπος directory. Η εντολή “άνοιγμα” χρησιμοποιείται για την εκτέλεσή του.

Μέσα στο app bundle, οι ερευνητές ανακάλυψαν δύο αρχεία, ένα shell script που εκτελεί πολλές κακόβουλες λειτουργίες και ένα αρχείο Word που εμφανίζεται κατά την εκτέλεση.

Το shell script είναι υπεύθυνο για πολλά πράγματα, όπως για τη διαγραφή του χαρακτηριστικού file quarantine για τα αρχεία στο bundle και για την κατάργηση του χαρακτηριστικού file quarantine στο σύστημα, την αντιγραφή του εγγράφου Word σε ένα temp directory, το άνοιγμά του και την εξαγωγή ενός second-stage binary. Στη συνέχεια, το shell script αλλάζει τα δικαιώματα πρόσβασης και διαγράφει το malware app bundle και το έγγραφο του Word από το σύστημα.

Όσον αφορά το second stage payload, είναι υπεύθυνο για την εγκατάσταση ενός τρίτου payload, την παραμονή στο μολυσμένο σύστημα, την αλλαγή του timestamp του δείγματος με τη χρήση του touch command και τη διαγραφή του.

Το τρίτο payload περιέχει δύο βασικές λειτουργίες για τη συλλογή και αποστολή πληροφοριών του λειτουργικού συστήματος στους C&C servers, για τη λήψη πρόσθετων πληροφοριών επικοινωνίας και για την εκτέλεση δραστηριοτήτων backdoor.

Όπως και παλαιότερα malware της OceanLotus, έτσι και αυτό το macOS backdoor μπορεί να εκτελέσει διάφορες λειτουργίες με βάση τις ληφθείσες εντολές: λήψη μεγέθους αρχείου, λήψη και εκτέλεση αρχείου, αφαίρεση / λήψη / μεταφόρτωση αρχείου, έξοδος, εκτέλεση εντολών και λήψη πληροφοριών διαμόρφωσης.

Η Trend Micro συνιστά σε όλους τους οργανισμούς να εκπαιδεύσουν τους υπαλλήλους τους ώστε να μην ανοίγουν συνδέσμους ή συνημμένα από ύποπτες πηγές. Επίσης, απαραίτητη είναι η τακτική ενημέρωση των συστημάτων και των εφαρμογών και η χρήση αξιόπιστων προγραμμάτων ασφαλείας.

Πηγή: Security Week

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Instagram: Πώς να ενεργοποιήσετε τις ειδοποιήσεις για συγκεκριμένα προφίλ

Υπάρχουν ορισμένα προφίλ στο Instagram όπου θέλετε να δείτε το περιεχόμενο που δημοσιεύουν το συντομότερο δυνατό - μπορεί να είναι μια ειδησεογραφική...
00:01:55

Ιστορική πλατφόρμα εκτόξευσης της NASA πρόκειται να κατεδαφιστεί

Η διάσημη πλατφόρμα εκτόξευσης Mobile Launcher Platform-2 της NASA, η οποία έχει συνδεθεί με τις αποστολές του Apollo και του Space Shuttle,...
00:02:12

Elon Musk: Δίνει $ 100 εκατ. για την καλύτερη τεχνολογία δέσμευσης CO2

https://www.youtube.com/watch?v=Y0iUZc30vj4 Ο Elon Musk δήλωσε χθες, στο λογαριασμό του στο Twitter, ότι σκοπεύει να δώσει 100 εκατομμύρια...

Πώς μπορείτε να ξεμπλοκάρετε sites και υπηρεσίες χρησιμοποιώντας VPN;

Το Διαδίκτυο είναι δωρεάν και ανοιχτό για όλους. Ωστόσο, υπάρχουν ορισμένα sites και υπηρεσίες των οποίων το περιεχόμενο είναι αποκλεισμένο, γεγονός που...

Google Chrome: Πώς να διαχειριστείτε τις επεκτάσεις σας;

Οι Google Chrome επεκτάσεις μπορούν να σας φανούν πολύ χρήσιμες, αφού βελτιώνουν την παραγωγικότητά σας κατά τη χρήση του browser.

Intel CPUs Review: Core i7-10700 vs Core i7-10700K!

Με την πάροδο των χρόνων, η σειρά επεξεργαστών (CPUs) της Intel παρουσίασε τη σειρά μοντέλων overclocking "K" και πιο πρόσφατα τη σειρά...

Το DeLorean μπορεί να επιστρέψει ως ηλεκτρικό αυτοκίνητο

Το DMC DeLorean είναι εκτός παραγωγής εδώ και σχεδόν 40 χρόνια, αλλά φαίνεται πως το εμβληματικό όχημα θα επιστρέφει ως ηλεκτρικό αυτοκίνητο.

Οι servers RDP των Windows χρησιμοποιούνται στην ενίσχυση των DDoS

Οι συμμορίες που διαπράτουν εγκλήματα στον κυβερνοχώρο κάνουν κατάχρηση των συστημάτων Windows Remote Desktop Protocol (RDP) για να να ενισχύσουν το ανεπιθύμητο...

SEPA: Αρνήθηκε να πληρώσει λύτρα και διέρρευσαν χιλιάδες αρχεία

Χιλιάδες κλεμμένα αρχεία της Υπηρεσίας Προστασίας Περιβάλλοντος της Σκωτίας (SEPA) έχουν δημοσιεύσει από hackers, αφού ο οργανισμός αρνήθηκε να πληρώσει τα λύτρα...

Πρόστιμα στις Valve, Capcom και Zenimax για γεω-αποκλεισμό παιχνιδιών

Μετά από έρευνα της Ευρωπαϊκής Επιτροπής, σε μια ομάδα εκδοτών βιντεοπαιχνιδιών επιβλήθηκε πρόστιμο 7,8 εκατομμύριων ευρώ μετά από κατηγορίες πρακτικών γεω-αποκλεισμού. Σε...