Computer Security Le groupe OceanLotus APT attaque les systèmes MacOS avec...

Le groupe OceanLotus APT attaque les systèmes MacOS avec une menace de porte dérobée mise à jour

attaque de logiciels malveillants apt Oceanlotus En novembre 2020, des chercheurs en malwares ont détecté une nouvelle porte dérobée ciblant les appareils macOS. Compilée en trois étapes et équipée de techniques anti-détection innovantes, cette nouvelle menace provient très probablement du groupe APT (Advanced Persistent Threat) déjà connu, soutenu par le Vietnam, appelé OceanLotus. Entre janvier et avril 2020, OceanLotus a attaqué le ministère chinois de la Gestion des urgences et le gouvernement de la province de Wuhan, apparemment dans le but de voler des renseignements concernant la réponse du pays au COVID-19. Toujours en 2020, certaines campagnes de cyberespionnage contre des utilisateurs d'Android en Asie ont également été attribuées au même groupe APT.

Également appelé APT32, OceanLotus existe au moins depuis 2013 et est lié à plusieurs attaques majeures contre des organisations des secteurs des médias, de la recherche et de la construction. Contrairement aux anciennes variantes de l'OceanLotus Backdoor de 2018, les dernières versions ont été mises à jour avec de nouveaux modèles de comportement, des techniques pour éviter la détection et des mécanismes pour assurer la persistance.

Les objectifs d'OceanLotus ne sont pas entièrement ciblés

Aucune cible particulière n'a encore été identifiée pour les attaques les plus récentes d'OceanLotus; cependant, les pirates semblent viser le marché vietnamien en raison de l'utilisation de la langue vietnamienne dans certains fichiers du malware. Le vecteur initial exact de l'infection n'est pas non plus clair. En raison de l'apparence de la charge utile de première étape qui ressemble à un document Word, les chercheurs supposent que cela pourrait provenir d'e-mails de phishing, bien qu'OceanLotus APT ait également été observé pour utiliser des sites Web corrompus et des applications Google Play compromises pour propager d'autres menaces de logiciels malveillants.

La recherche montre que les attaquants ont emballé la porte dérobée dans une application déguisée en document Microsoft Word à l'aide de l'icône Word. Cette application est regroupée dans une archive .zip, dans laquelle le bundle contient deux charges utiles - les scripts shell avec les principaux processus corrompus et le faux fichier "Word'' affiché lors de l'exécution. Le nom du bundle se compose de caractères spéciaux - trois octets ("efb880") en encodage UTF-8 pour éviter la détection. Plus tard, le faux document Word se trouve dans un dossier nommé' ALL tim nha Chi Ngoc Canada.doc ', qui grossièrement traduit du vietnamien signifie «trouver la maison de Mme Ngoc».

La vérification du fichier .zip d'origine avec le dossier montre cependant qu'il contient trois caractères de contrôle Unicode spéciaux entre «.» et «doc». Ceux-ci donnent à l'utilisateur l'apparence d'un fichier Word "normal'', mais le système d'exploitation le reconnaît comme un type de répertoire non pris en charge. En conséquence, la commande par défaut «Ouvrir» exécute réellement la charge utile nuisible. Une fois terminée, l'application supprime la charge utile de deuxième étape en tant que "ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def'' qui, à son tour, exécute la charge utile de troisième étape puis se supprime elle-même.

La charge utile de troisième étape possède les principales fonctionnalités de la porte dérobée, comme la collecte d'informations sur le système d'exploitation (y compris les informations de processus et de mémoire, les adresses MAC de l'interface réseau, le numéro de série), et le cryptage et la transmission des données aux serveurs de commande et de contrôle des pirates. Il reçoit également des commandes supplémentaires des serveurs. Le nouveau OceanLotus Backdoor prend également en charge d'autres commandes - télécharger et exécuter des fichiers, supprimer des fichiers, exécuter des commandes dans le terminal et obtenir des informations de configuration.

En raison de ses canaux de distribution supposés, tels que les campagnes de courrier indésirable, les applications menaçantes et les sites Web compromis, les utilisateurs de macOS ne doivent jamais cliquer sur des liens suspects ou ouvrir des pièces jointes d'expéditeurs inconnus pour éviter les attaques OceanLotus. Les applications doivent également être téléchargées uniquement à partir du site Web officiel du développeur et d'autres sources fiables.

Chargement...