El grupo OceanLotus APT ataca los sistemas MacOS con una amenaza de puerta trasera actualizada

ataque de malware oceanlotus apt En noviembre de 2020, los investigadores de malware detectaron una nueva puerta trasera dirigida a dispositivos macOS. Compilada en tres cargas útiles de múltiples etapas y equipada con técnicas innovadoras de anti-detección, esta nueva amenaza probablemente provenga del ya conocido grupo Advanced Persistent Threat (APT) respaldado por Vietnam llamado OceanLotus. Entre enero y abril de 2020, OceanLotus atacó al Ministerio de Gestión de Emergencias de China y al gobierno de la provincia de Wuhan, aparentemente en un intento de robar inteligencia sobre la respuesta COVID-19 del país. Nuevamente en 2020, algunas campañas de ciberespionaje contra usuarios de Android en Asia también se han atribuido al mismo grupo de APT.

También llamado APT32, OceanLotus existe al menos desde 2013 y está vinculado a varios ataques importantes contra organizaciones de los sectores de los medios de comunicación, la investigación y la construcción. A diferencia de las variantes anteriores de OceanLotus Backdoor de 2018, las últimas versiones se han actualizado con algunos patrones de comportamiento nuevos, técnicas para evitar la detección y mecanismos para garantizar la persistencia.

Los objetivos de OceanLotus no están completamente enfocados

No se han identificado objetivos en particular para los ataques más recientes de OceanLotus; Sin embargo, los piratas informáticos parecen apuntar al mercado vietnamita debido al uso del idioma vietnamita en algunos de los archivos del malware. El vector inicial exacto de la infección tampoco está claro. Debido a la apariencia de la carga útil de la primera etapa que se asemeja a un documento de Word, los investigadores suponen que podría ser a través de correos electrónicos de phishing, aunque también se ha observado que OceanLotus APT usa sitios web corruptos y aplicaciones de Google Play comprometidas para propagar otras amenazas de malware.

La investigación muestra que los atacantes han empaquetado la puerta trasera en una aplicación disfrazada de documento de Microsoft Word usando el ícono de Word. Esta aplicación se incluye en un archivo .zip, por lo que el paquete contiene dos cargas útiles: los scripts de shell con los principales procesos corruptos y el archivo falso de 'Word' que se muestra al ejecutarse. El nombre del paquete consta de caracteres especiales: tres bytes ('efb880 ") en codificación UTF-8 para evitar la detección. Más tarde, el documento de Word falso se puede encontrar en una carpeta llamada' ALL tim nha Chi Ngoc Canada.doc ', que traducido aproximadamente del vietnamita significa "encontrar la casa de la Sra. Ngoc".

Sin embargo, al comprobar el archivo .zip original con la carpeta, se muestra que contiene tres caracteres de control Unicode especiales entre '.' y 'doc'. Esto hace que el paquete de la aplicación parezca un archivo de Word "normal" para el usuario, pero el sistema operativo lo reconoce como un tipo de directorio no compatible. Como resultado, el comando 'Abrir' predeterminado realmente ejecuta la carga útil dañina. Una vez completada, la aplicación descarta la carga útil de la segunda etapa como 'ALL tim nha Chi Ngoc Canada.?doc/Contents/Resources/configureDefault.def' que, a su vez, ejecuta la carga útil de la tercera etapa y luego se borra.

La carga útil de la tercera etapa tiene las principales funcionalidades de la puerta trasera, como recopilar información sobre el sistema operativo (incluida información de proceso y memoria, direcciones MAC de interfaz de red, número de serie) y cifrar y transmitir los datos a los servidores de comando y control de los piratas informáticos. . También recibe comandos adicionales de los servidores. El nuevo OceanLotus Backdoor también admite otros comandos: descargar y ejecutar archivos, eliminar archivos, ejecutar comandos en la terminal y obtener información de configuración.

Debido a sus supuestos canales de distribución, como campañas de correo electrónico no deseado, aplicaciones amenazantes y sitios web comprometidos, los usuarios de macOS nunca deben hacer clic en enlaces sospechosos o abrir archivos adjuntos de remitentes desconocidos para evitar ataques de OceanLotus. Las aplicaciones también deben descargarse solo desde el sitio web oficial del desarrollador y otras fuentes confiables.

Deja una Respuesta

NO use este sistema de comentarios para soporte o preguntas de facturación. Para problemas de facturación, consulte nuestra página "¿ Preguntas o problemas de facturación?". Para problemas de facturación, consulte nuestra página "Preguntas o Problemas de Facturación?". Para consultas generales (quejas, legal, prensa, marketing, derechos de autor), visite nuestra página "Consultas y Comentarios".


HTML no está permitido.