Die OceanLotus APT Group greift MacOS-Systeme mit einer aktualisierten Backdoor-Bedrohung an
Im November 2020 entdeckten Malware-Forscher eine neue Hintertür für MacOS-Geräte. Diese neue Bedrohung, die aus drei mehrstufigen Nutzlasten besteht und mit innovativen Anti-Erkennungs-Techniken ausgestattet ist, stammt höchstwahrscheinlich von der bereits bekannten vietnamesischen Advanced Persistent Threat (APT) -Gruppe namens OceanLotus. Zwischen Januar und April 2020 griff OceanLotus das chinesische Ministerium für Notfallmanagement und die Regierung der Provinz Wuhan an, offenbar um Informationen über die COVID-19-Reaktion des Landes zu stehlen. Auch im Jahr 2020 wurden einige Cyberspionagekampagnen gegen Android-Nutzer in Asien derselben APT-Gruppe zugeordnet.
OceanLotus, auch APT32 genannt, existiert mindestens seit 2013 und ist mit mehreren größeren Angriffen gegen Organisationen aus den Bereichen Medien, Forschung und Bau verbunden. Im Gegensatz zu den älteren Varianten der OceanLotus Backdoor aus dem Jahr 2018 wurden die neuesten Versionen mit einigen neuen Verhaltensmustern, Techniken zur Vermeidung von Erkennung und Mechanismen zur Gewährleistung der Persistenz aktualisiert.
OceanLotus-Ziele sind nicht vollständig im Fokus
Für die letzten OceanLotus-Angriffe wurden noch keine bestimmten Ziele identifiziert. Die Hacker scheinen jedoch auf den vietnamesischen Markt abzuzielen, da in einigen Dateien der Malware die vietnamesische Sprache verwendet wird. Der genaue Anfangsvektor der Infektion ist ebenfalls noch unklar. Aufgrund des Auftretens der Nutzdaten der ersten Stufe, die einem Word-Dokument ähneln, gehen Forscher davon aus, dass es sich um Phishing-E-Mails handeln könnte, obwohl festgestellt wurde, dass OceanLotus APT auch beschädigte Websites verwendet und Google Play Apps kompromittiert, um andere Malware-Bedrohungen zu verbreiten.
Untersuchungen haben ergeben, dass die Angreifer die Hintertür in eine Anwendung gepackt haben, die als Microsoft Word-Dokument mit dem Word-Symbol getarnt ist. Diese App ist in einem ZIP-Archiv gebündelt, wobei das Bundle zwei Nutzdaten enthält - die Shell-Skripte mit den wichtigsten beschädigten Prozessen und die gefälschte 'Word'-Datei, die bei der Ausführung angezeigt wird. Der Name des Bundles besteht aus Sonderzeichen - drei Bytes ('efb880 ") in UTF-8-Codierung, um eine Erkennung zu vermeiden. Später befindet sich das gefälschte Word-Dokument in einem Ordner mit dem Namen' ALL tim nha Chi Ngoc Canada.doc,' was grob aus dem Vietnamesischen übersetzt bedeutet "Frau Ngocs Haus finden".
Das Überprüfen der ursprünglichen ZIP-Datei mit dem Ordner zeigt jedoch, dass sie drei spezielle Unicode-Steuerzeichen zwischen '.' und 'doc' enthält. Dadurch sieht das App-Bundle für den Benutzer wie eine "normale" Word-Datei aus, das Betriebssystem erkennt es jedoch als nicht unterstützten Verzeichnistyp. Infolgedessen führt der Standardbefehl 'Öffnen' tatsächlich die schädliche Nutzlast aus. Nach Abschluss des Vorgangs löscht die Anwendung die Nutzdaten der zweiten Stufe als "ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def", wodurch wiederum die Nutzdaten der dritten Stufe ausgeführt werden und sich dann selbst löschen.
Die Nutzdaten der dritten Stufe verfügen über die Hauptfunktionen der Hintertür, z. B. das Sammeln von Informationen über das Betriebssystem (einschließlich Prozess- und Speicherinformationen, MAC-Adressen der Netzwerkschnittstelle, Seriennummer) sowie das Verschlüsseln und Übertragen der Daten an die Command-and-Control-Server der Hacker . Es empfängt auch zusätzliche Befehle von den Servern. Die neue OceanLotus Backdoor unterstützt auch andere Befehle - Herunterladen und Ausführen von Dateien, Entfernen von Dateien, Ausführen von Befehlen im Terminal und Abrufen von Konfigurationsinformationen.
Aufgrund der angeblichen Vertriebskanäle wie Spam-E-Mail-Kampagnen, bedrohlichen Anwendungen und kompromittierten Websites sollten MacOS-Benutzer niemals auf verdächtige Links klicken oder Anhänge von unbekannten Absendern öffnen, um OceanLotus-Angriffe zu vermeiden. Anwendungen sollten auch nur von der offiziellen Website des Entwicklers und anderen vertrauenswürdigen Quellen heruntergeladen werden.