趋势科技的安全研究员Jaromir Horejsi在本周三发表的博文中表示,他们发现了一种新型的MacOS后门程序(由趋势科技检测为OSX_OCEANLOTUS.D )正在被黑客组织“海莲花”所使用,而其攻击目标是那些安装有Perl语言编程软件的Mac用户。
海莲花,英文名OceanLotus,也被称为SeaLotus、Cobalt Kitty、APT-C-00和APT 32,是一个被认为与越南政府存在关联的黑客组织。
根据我国网络安全公司360旗下天眼实验室在2015年5月29日发布的研究报告显示,自2012年4月以来,该组织一直在针对中国政府、海事机构、海域建设部门、科研院所以及航运企业等领域开展长时间的APT(高级持续性威胁)攻击,而这也是国内首次披露来自境外的国家级黑客组织。
根据Horejsi的描述,新的MacOS后门程序正通过钓鱼电子邮件中的恶意Word文档进行分发。原始文件名为“2018-PHIẾU GHI DANH THAM DỰ TĨNH HỘI HMDC 2018.doc”,翻译过来也就是“2018年HMDC大会登记表”,而HMDC是一个在越南宣传民族独立和民主的组织。
Horejsi表示,在收件人打开这个文档时,它会建议收件人启用宏。而这个恶意宏采用了十进制ASCII代码来逐个字符地进行混淆,以逃避安全产品的检测。
在去除混淆之后,研究人员发现有效载荷是采用Perl语言编写的。它从会从Word文档中提取一个XML文件(theme0.xml),这是一个带有0xFEEDFACE签名的Mach-O 32位可执行文件,用于作为OSX_OCEANLOTUS.D后门程序的滴管组件(dropper)。
Horejsi表示,滴管组件中的所有字符串以及后门本身都使用了硬编码的RSA256密钥进行加密。其中,加密字符串以两种形式存在:使用RSA256加密的字符串,以及混合使用自定义base64编码和RSA256加密的字符串。
当滴管组件执行时,它首先会检查自身是否是以ROOT权限运行的。基于此,它将采用两种安全不同的硬编码路径和进程名称来安装最终的后门程序。
当滴管组件安装后门程序时,它会将其属性设置为“hidden(隐藏)” ,并使用touch命令将文件创建日期和时间设置为随机值。
后门程序通过使用两个函数(infoClient和runHandle)来实现不同的功能,infoClient负责收集操作系统信息,并将这些信息提交给命令和控制(C&C)服务器以及接收额外的C&C通信信息,而runHandle则负责后门功能。
趋势科技表示,开始使用新后门意味着“海莲花”组织不仅仍处于活跃状态,而且还在不断升级自己的武器库。尽管苹果Mac计算机普遍被认为比Windows计算机在防止病毒和恶意软件入侵方面更具优势,但并不表示Mac电脑就绝对安全。因此,无论使用的操作系统版本如何,Mac用户同样很有必要警惕网络钓鱼活动,并为此采取主动预防措施。