Ny OceanLotus Backdoor Discovered Targeting macOS
Förra veckan publicerade säkerhetsforskare en rapport om en ny bakdörr som ingår i OceanLotus verktygslåda. Den senaste iterationen av OceanLotus-skadlig programvara riktar sig mot macOS och använder ett skadligt Microsoft Word-dokument för att infektera ett värdsystem.
Det skadliga dokumentnamnet i naturen var ”2018-PHIẾU GHI DANH THAM DỰ TĨNH HỘI HMDC 2018.doc”, men kan naturligtvis ha något namn på vilket språk som helst. Dokumentet påstår sig vara ett registreringsformulär för ett evenemang med HDMC, en organisation i Vietnam som annonserar för nationell självständighet och demokrati.
OceanLotus (aka APT 32, APT-C-00, SeaLotus och Cobalt Kitty) var också ansvarig för att inleda riktade attacker mot mänskliga rättighetsorganisationer, mediaorganisationer, forskningsinstitut och maritima byggföretag. Intego VirusBarrier identifierar och utraderar denna nya malware-variant som OceanLotus.D.
Hur infekterar OceanLotus.D Mac-datorer?
Antagandet är att denna nya bakdörr distribueras via e-post, eventuellt genom phishing eller spjut phishing-attacker. Den skadliga nyttolasten är en del av ett Microsoft Word-dokument som, när det öppnas, visar en varning om att dokumentet inte kan öppnas.
Denna varning är falsk och helt enkelt en del av själva dokumentet. Användaren instrueras att öppna dokumentet igen och klicka på “Aktivera makron”, om du uppmanas till det.
Att aktivera makron skulle dock vara ett misstag eftersom det gör att dokumentet kan installera sin nyttolast — OceanLotus.D bakdörren. Inget användarnamn eller lösenord krävs för att detta ska hända.
Vad kan OceanLotus.D göra?
När bakdörren är på plats kan skadlig programvara kommunicera med en Command & Control-server (C&C) och göra något av följande:
- Få filstorlekar
- Ladda ner och kör filen
- Kör terminalkommandot
- Ta bort fil
- Ladda upp fil
- Nedladdning fil
- Få konfigurationsinformation
C & C-servrarna identifierades som:
- Ssl[.]arkouthrie[.]com
- s3[.]hiahornber[.]com
- widget[.]shoreoa[.]com
Alla domäner finns på samma server med IP-adressen 185.174.101.13.
Uthållighet upprätthålls genom att placera en plist i endera / Bibliotek / LaunchDaemons / eller ~ / Bibliotek / LaunchAgents /. Denna lanseringsagent åberopar en process lagrad i ~ / Bibliotek / stavning / heter “spellagentd” eller lagras i /Library/CoreMediaIO/Plug-Ins/FCP-DAL/iOSScreenCapture.plugin/Contents/Resources/ och heter “screenassistantd.” Bilden nedan visar vad spellagentd-processen körs och kommunicerar med C&C-servern:
Bör Mac-användare vara oroliga för OceanLotus.D?
Det är viktigt att notera att för att det skadliga Word-dokumentet ska släppa sin nyttolast måste Mac-användaren använda Office 2011. I Word-versioner från 14.4.4 – 14.7.7 är dokumentet kunde att tappa nyttolasten varje gång. Användning av Office 2016 med Word-versioner som sträcker sig mellan 15.39 – 16.11 i dokumentet kunde inte för att släppa sin nyttolast, och det började till och med att kasta fel när fler uppdateringar tillämpades.
Hittills har OceanLotus.D inte sett i utbredd användning, men det kan användas som en del av andra skadliga attacker. Eftersom OceanLotus praktiskt taget inte tar något CPU-minne eller minne och inte behöver något användarnamn och lösenord för att installera, kan en Mac-användare smittas utan att veta det. Varhelst OceanLotus.D kan komma ifrån är Intego VirusBarrier-kunder skyddade från den här nya skadliga programvarianten och har varit sedan 20 mars 2018.
Hur man vet om din Mac är infekterad (och instruktioner för borttagning)
För att kontrollera om din Mac är infekterad och för att rensa infektionen om den finns, måste du först göra osynliga filer synliga i Finder. I macOS Sierra och High Sierra kan detta snabbt göras med följande tangentkombination:
Command-Shift-. (period)
För äldre OS X-versioner kan detta göras genom att skriva följande kommandon i Terminal-appen:
$ standard skriver com.apple.Finder AppleShowAllFiles true
$ killall Finder
När du är klar anger du samma kommandon men ändrar “true” till “false”.
Med de dolda filerna nu synliga, kontrollera både rotbiblioteket och användarbiblioteket för dessa filer:
- Bibliotek> LaunchDaemons – Leta efter en fil med namnet com.apple.screen.assistantd.plist och ta bort den om den hittas.
- ~ Bibliotek > LaunchAgents> com.apple.spell.agent.plist – Ta bort den här filen om den finns.
- Bibliotek> CoreMediaIO> Plug-ins> FCP-DAL> iOSScreenCapture.plugin> Innehåll> Resurser – Leta efter en fil med namnet skärmassistentd och ta bort den om den hittas.
- ~ Bibliotek> Stavning> skärmassistentd – Ta bort den här filen.
Om en infektion hittas och ovanstående filer har raderats, töm papperskorgen och starta om din Mac.
Hur du skyddar dig mot OceanLotus.D
Intego VirusBarrier-användare är skyddade som de upptäcker OceanLotus.D, och kommer att ta bort det från ett infekterat system eller blockera det från installation om det gör vägen till din Mac i framtiden. Naturligtvis använder antivirus med realtidsskanning tillsammans med en tvåvägs brandväggslösning, som Intego NetBarrier, också varningar om alla anslutningsförsök till / från applikationer, vilket gör att du kan upptäcka misstänkt beteende.
Det här är inte första gången makron missbrukas för att installera skadlig programvara för Mac, och det kommer verkligen inte vara sista gången. Aktivera därför bara makron om du absolut behöver dem och litar på det dokument som helt begär dem.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för Mac-säkerhetsforskning. Han utför oberoende skyddstester mot skadlig kod och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Detta inlägg postades i Malware, rekommenderas och taggas APT 32, APT-C-00, Cobalt Kitty, Macros, OceanLotus, OceanLotus.D, OSX / OceanLotus, SeaLotus. Bokmärk permalänken.