-
Các nhà nghiên cứu bảo mật của Trend Micro vừa phát hiện một backdoor macOS mới được nhóm hacker OceanLotus sử dụng.
OceanLotus còn được biết đến với tên gọi APT-C-00 và APT32, chủ yếu nhắm mục tiêu vào các tổ chức chính phủ và doanh nghiệp ở Đông Nam Á. Đầu năm nay, nhóm hacker đã thực hiện các cuộc tấn công gián điệp lợi dụng đại dịch COVID-19 để nhắm vào Trung Quốc.
So với các biến thể phần mềm độc hại trước đây mà APT32 sử dụng, mã độc mới có những tương đồng về cách thức hoạt động và mã nguồn. Điều này khiến các nhà nghiên cứu nhận định rằng nhóm hacker đứng đằng sau phần mềm độc hại mới này. Một tài liệu có tên tiếng Việt cũng được sử dụng trong chiến dịch tấn công.
Phần mềm độc hại giả mạo tài liệu Word nhưng thực ra là ứng dụng nén dưới định dạng ZIP, trong tên có chứa các ký tự đặc biệt nhằm tránh bị phát hiện.
Trong gói ứng dụng nén trong file ZIP, các nhà nghiên cứu bảo mật phát hiện ra hai tệp, cụ thể là tập lệnh shell thực hiện nhiều quy trình độc hại và tệp Word được hiển thị trong quá trình thực thi.
Tập lệnh shell chịu trách nhiệm xóa thuộc tính kiểm dịch tệp (File Quarantine) cho các file trong gói và trong hệ thống, sao chép tài liệu Word vào thư mục tạm thời và mở nó. Tệp lệnh shell này tiếp tục giải nén tệp nhị phân giai đoạn hai và thay đổi quyền truy cập, sau đó xóa gói ứng dụng phần mềm độc hại và tài liệu Word khỏi hệ thống.
File Quarantine là một tính năng của hệ điều hành macOS, để cảnh báo người dùng khi mở một ứng dụng tải về từ Internet. Tính năng này sẽ hiển thị thông tin về nguồn tải file và thời gian tải file. Phần mềm độc hại mới xóa thuộc tính File Quarantine nhằm mục đích che giấu hành vi độc hại.
Mã được thực thi giai đoạn hai của tệp lệnh shell chịu trách nhiệm thay đổi dấu thời gian của file độc hại bằng cách sử dụng lệnh shell touch và đó tự xóa.
Mã thực thi ở giai đoạn ba chứa hai chức năng chính, một là để thu thập và gửi thông tin hệ điều hành đến máy chủ C&), hai là để nhận thông tin liên lạc bổ sung và thực hiện các hoạt động của backdoor.
Tương tự các mẫu phần mềm độc hại cũ hơn mà OceanLotus sử dụng, backdoor có thể thực hiện các hoạt động khác nhau dựa trên các lệnh đã nhận từ máy chủ điều khiển như lấy kích thước file, tải và chạy file, xóa, tải xuống hoặc tải file lên, thoát, chạy các lệnh trong thiết bị đầu cuối và nhận thông tin cấu hình.
Trend Micro cũng đã phân tích một số tên miền được sử dụng bởi máy chủ C&C trong các mẫu mã độc mới. Hãng khuyến cáo người dùng không nên nhấp vào liên kết hoặc tải xuống file đính kèm đến từ các nguồn đáng ngờ, luôn cập nhật hệ điều hành và ứng dụng, đồng thời sử dụng các giải pháp bảo mật để tăng cường an ninh hệ thống.
Theo Security Week
