新型MacOS後門程序浮出水面 被指與黑客組織「海蓮花」有關聯

「用指尖改變世界」

趨勢科技的安全研究員Jaromir Horejsi在本周三發表的博文中表示，他們發現了一種新型的MacOS後門程序（由趨勢科技檢測為OSX_OCEANLOTUS.D ）正在被黑客組織「海蓮花」所使用，而其攻擊目標是那些安裝有Perl語言編程軟體的Mac用戶。

海蓮花，英文名OceanLotus，也被稱為SeaLotus、Cobalt Kitty、APT-C-00和APT 32，是一個被認為與越南政府存在關聯的黑客組織。

根據我國網路安全公司360旗下天眼實驗室在2015年5月29日發布的研究報告顯示，自2012年4月以來，該組織一直在針對中國政府、海事機構、海域建設部門、科研院所以及航運企業等領域開展長時間的APT（高級持續性威脅）攻擊，而這也是國內首次披露來自境外的國家級黑客組織。

根據Horejsi的描述，新的MacOS後門程序正通過釣魚電子郵件中的惡意Word文檔進行分發。原始文件名為「2018-PHI?U GHI DANH THAM D? T?NH H?I HMDC 2018.doc」，翻譯過來也就是「2018年HMDC大會登記表」，而HMDC是一個在越南宣傳民族獨立和民主的組織。

Horejsi表示，在收件人打開這個文檔時，它會建議收件人啟用宏。而這個惡意宏採用了十進位ASCII代碼來逐個字元地進行混淆，以逃避安全產品的檢測。

在去除混淆之後，研究人員發現有效載荷是採用Perl語言編寫的。它從會從Word文檔中提取一個XML文件（theme0.xml），這是一個帶有0xFEEDFACE簽名的Mach-O 32位可執行文件，用於作為OSX_OCEANLOTUS.D後門程序的滴管組件（dropper）。

Horejsi表示，滴管組件中的所有字元串以及後門本身都使用了硬編碼的RSA256密鑰進行加密。其中，加密字元串以兩種形式存在：使用RSA256加密的字元串，以及混合使用自定義base64編碼和RSA256加密的字元串。

當滴管組件執行時，它首先會檢查自身是否是以ROOT許可權運行的。基於此，它將採用兩種安全不同的硬編碼路徑和進程名稱來安裝最終的後門程序。

當滴管組件安裝後門程序時，它會將其屬性設置為「hidden（隱藏）」 ，並使用touch命令將文件創建日期和時間設置為隨機值。

後門程序通過使用兩個函數（infoClient和runHandle）來實現不同的功能，infoClient負責收集操作系統信息，並將這些信息提交給命令和控制（C＆C）伺服器以及接收額外的C＆C通信信息，而runHandle則負責後門功能。

趨勢科技表示，開始使用新後門意味著「海蓮花」組織不僅仍處於活躍狀態，而且還在不斷升級自己的武器庫。儘管蘋果Mac計算機普遍被認為比Windows計算機在防止病毒和惡意軟體入侵方面更具優勢，但並不表示Mac電腦就絕對安全。因此，無論使用的操作系統版本如何，Mac用戶同樣很有必要警惕網路釣魚活動，並為此採取主動預防措施。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！