犯罪分子對MacOS的興趣越來越高,病毒作者不斷地開發更多攻擊熱門作業系統的惡意威脅。之前被發現使用內嵌巨集的Microsoft Excel檔案來攻擊韓國使用者的網路犯罪組織Lazarus,近日開始散播新Mac後門程式(趨勢科技偵測為Backdoor.MacOS.NUKESPED.A),
延伸閱讀:
| 延伸閱讀: 偽裝成股票交易軟體 Stockfolio 竊個資的 Mac 惡意應用程式 |
與 Lazarus 前幾代的相似之處
趨勢科技分析了一個由Twitter使用者cyberwar_15所發現的惡意樣本,發現該樣本使用了內嵌巨集的Excel文件,這類似於Lazarus集團之前的攻擊。
圖1. 試算表出現一個有名的心理測驗(類似這裡找到的測驗)。按下左上方的笑臉會根據使用者答案出現不同回應。
但不同於之前的攻擊會根據執行試算表的作業系統不同而進行不同動作,該檔案內的巨集只會執行一個PowerShell腳本來連到駭客集團所設置的三台C&C伺服器:
圖2. 巨集檔案會連到hxxps[:]//crabbedly[.]club/board[.]php,hxxps[:]//craypot[.]live/board[.]php和hxxps[:]//indagator[.]club/board[.]php。
圖3. SentinelOne在上述之前攻擊所擷取的惡意巨集程式碼片段(左)與最近發現惡意巨集程式碼片段(右)的比較。後者顯示出如果在Mac平台上執行將不會進行任何動作。這次針對MacOS的#If Mac Then攻擊並非從惡意巨集啟動。
Mac應用程式內包含了惡意及正常的Flash Player
除了分析的樣本外,@cyberwar_15及Qianxin Technology還取得了疑似與該攻擊有關的Mac應用程式,因為它與惡意試算表共用類似的C&C伺服器。
圖4. 所發現樣本內的Mac應用程式
但這只是個誘餌程式,真正的Adobe Flash Player是裡面設為隱藏的Mach-O檔案。該應用程式內有兩個Flash Player檔案:一個正常版本和一個惡意版本(Trojan.MacOS.NUKESPED.B)。執行時會以較小的Flash Player作為主要執行檔,這是個名稱顯示為Flash Player的惡意軟體。它還會執行正常的Flash Player來掩蓋其實際惡意行為。
圖5. 應用程式內含兩個Flash Player檔案,一個正常版本和一個惡意版本。
圖6. 仔細查看應用程式會發現該Flash Player應用程式是由一個名叫Oleg Krasilnikov的人所開發,與Adobe Inc.無關。
執行Mac應用程式時,惡意Flash Player會執行正常的Flash Player來播放作為誘餌的SWF影片。
圖7. SWF影片會顯示圖片合集及在背景播放韓文歌。
經過樣本分析後顯示在影片播放時,惡意Flash Player會建立另一個隱藏檔案~/.FlashUpdateCheck(Backdoor.MacOS.NUKESPED.A)。
圖8. 惡意Flash Player在正常Flash Player播放影片時建立一個隱藏檔案~/.FlashUpdateCheck。注意:符號(~)代表當前使用者的路徑。
接著會植入PLIST檔案~/Library/Launchagents/com.adobe.macromedia.plist來建立此隱藏檔案的持續性機制。
圖9. 植入~/Library/Launchagents/com.adobe.macromedia.plist的程式碼片段。隱藏檔~/.FlashUpdateCheck被設成為其自動執行目標。
進一步檢查顯示,隱藏檔~/.FlashUpdateCheck具備跟內嵌Macro文件的Powershell腳本有同樣的效果。我們確認了與下列伺服器進行C&C通訊的相關功能:
圖10. 位於隱藏檔_DATA區段內的C&C伺服器
惡意軟體的後門功能
要觸發Backdoor.MacOS.NUKESPED.A的後門功能,首先必須先跟上述的伺服器建立連線,craypot[.]live排在第一位。連線成功後會繼續執行實際的後門行為。
圖11. 在此動作中,檔案會評估伺服器回應並根據收到的命令號碼執行特定函數。
圖12. 後門函數11、12和14的反組譯虛擬碼
圖13. 後門函數18、19、20、21、24和25的反組譯虛擬碼
| 後門切換命令 | 功能 |
| 2 | 設定睡眠 |
| 3 | 終止程序 |
| 11 | 取得主機資訊 |
| 12, 14 | 檢查目前後門設定 |
| 15 | 更新C2和後門設定 |
| 18, 19 | 執行Shell命令 |
| 20 | 上傳檔案 |
| 21 | 下載檔案 |
| 24, 25 | 直接執行回應 |
表1. Backdoor.MacOS.NUKESPED.A的完整後門功能
圖14. MacOS隱藏檔具備跟Excel樣本內隱藏PowerShell腳本類似的後門功能(例如,兩者的命令11都是GetHostInfo函數)。
結論
與Lazarus早期利用巨集下載後門Mac檔案的作法不同,我們分析的樣本顯示出此次攻擊會使用帶有誘餌的應用程式,再同時運行惡意程式來分隔整個Mac攻擊鏈。
類似Lazarus這樣的網路犯罪集團正在針對不同平台來擴大其攻擊範圍。Lazarus集團從使用單一跨平台作法啟動攻擊鏈轉向會針對不同OS來製作惡意軟體,這是件值得注意的事情,也是在未來類似案件中所能夠預期看到的事情。
安全建議
為了避免遭受Backdoor.MacOS.NUKESPED.A相關的攻擊,使用者應該只從官方來源下載應用程式。這種做法雖簡單卻可以大大減低下載到惡意應用程式的機會。使用者還可以利用趨勢科技PC-cillin for Mac這樣的安全解決方案,它可以保護多個裝置,同時提供全面性的安全防護來抵禦網路威脅。
對於企業而言,可以採用具備XGen安全防護技術的趨勢科技Smart Protection Network™,它融合了高保真機器學習(Machine learning,ML)與威脅防護技術來消除使用者活動或端點間的安全漏洞。
入侵指標(IoC)
| 檔案 | SHA256 | 偵測名稱 |
| Album.app | d91c233b2f1177357387c29d92bd3f29fab7b90760e59a893a0f447ef2cb4715 | Trojan.MacOS.NUKESPED.B |
| Flash Player | 735365ef9aa6cca946cfef9a4b85f68e7f9f03011da0cf5f5ab517a381e40d02 | Trojan.MacOS.NUKESPED.B |
| .FlashUpdateCheck | 6f7a5f1d52d3bfc6f175bf2bbb665e4bd99b0453e2d2e27712fe9b71c55962dc | Backdoor.MacOS.NUKESPED.A |
@原文出處:Mac Backdoor Linked to Lazarus Targets Korean Users 作者:Gabrielle Joyce Mabutas