Chiamato anche APT-C-00 e APT32, e ritenuto ben dotato di risorse e determinato, OceanLotus è stato osservato principalmente come obiettivo di enti governativi e aziendali nel sud-est asiatico. All’inizio di quest’anno, il gruppo si è impegnato in attacchi di spionaggio COVID-19 contro la Cina.
Rispetto alle precedenti varianti di malware associate a OceanLotus, il campione recentemente scoperto mostra somiglianze nel comportamento dinamico e nel codice, suggerendo chiaramente un collegamento all’hacker.
Un documento utilizzato nella campagna presenta un nome vietnamita, che ha portato i ricercatori a credere che gli utenti vietnamiti siano stati presi di mira dal nuovo malware.
L’esempio osservato si maschera come un documento di Word ma è un’app raggruppata in un archivio ZIP, che presenta caratteri speciali nel suo nome, nel tentativo di eludere il rilevamento.
L’app bundle, spiega Trend Micro, è vista dal sistema operativo come un tipo di directory non supportato, il che significa che per eseguirlo viene utilizzato il comando “open”.
All’interno dell’app bundle, i ricercatori della sicurezza hanno scoperto due file, vale a dire uno script di shell che esegue più routine dannose e un file di Word che viene visualizzato durante l’esecuzione.
Lo script della shell è responsabile dell’eliminazione dell’attributo di quarantena dei file per i file nel bundle e della rimozione dell’attributo di quarantena dei file nel sistema, copia il documento di Word in una directory temporanea e lo apre, estrae il binario di seconda fase e modifica le sue autorizzazioni di accesso, quindi eliminando il pacchetto di app malware e il documento di Word dal sistema.
Per quanto riguarda il payload della seconda fase, è responsabile dell’eliminazione di un payload della terza fase, della creazione della persistenza, della modifica del timestamp del campione utilizzando il comando touch e della cancellazione di se stesso.
Dotato di stringhe crittografate, il payload della terza fase contiene due funzioni principali, per raccogliere e inviare informazioni sul sistema operativo ai server di comando e controllo (C&C), per ricevere informazioni aggiuntive sulla comunicazione e per eseguire attività di backdoor.
Simile ai vecchi campioni OceanLotus, la backdoor può eseguire varie operazioni in base ai comandi ricevuti: ottenere la dimensione del file, recuperare ed eseguire il file, rimuovere / scaricare / caricare il file, uscire, eseguire i comandi nel terminale e ottenere le informazioni di configurazione.
Trend Micro, che ha anche analizzato alcuni dei domini C&C utilizzati dal nuovo campione, consiglia a tutte le organizzazioni di addestrare i dipendenti ad astenersi dal fare clic su collegamenti o scaricare allegati provenienti da fonti sospette, mantenere aggiornati i sistemi operativi e le applicazioni e utilizzare soluzioni di sicurezza protetto.
Fonte: https://www.securityweek.com/vietnam-linked-cyberspies-use-new-macos-backdoor-attacks