与Lazarus组织相关的Mac后门分析

ang010ela 新闻 2019年11月22日发布
Favorite收藏

导语:Trend Micro研究人员发现一个与Lazarus组织有关的mac后门,使用启用宏的Excel来攻击韩国用户。

MacOS中的网络犯罪活动持续增长,越来越多的恶意软件开发者将矛头转向macOS。Trend Micro研究人员发现一个与Lazarus组织有关的mac后门,使用启用宏的Excel来攻击韩国用户。

与Lazarus的相似之处

研究人员分析了Twitter用户cyberwar_15发现的恶意样本,发现恶意样本使用了含有嵌入宏的Excel文档,这与Lazarus组织之前的攻击非常相像。

 

图1. 显示心理测试的excel表单,点击图片左上方会根据用户选择的答案显示不同的内容

与之前的攻击活动不同,文件中的宏会运行一个连接到3个C2服务器的PowerShell脚本:

图2. 宏文件连接到C2地址hxxps[:]//crabbedly[.]club/board[.]php, hxxps[:]//craypot[.]live/board[.]php, and hxxps[:]//indagator[.]club/board[.]php.

 

图3. 恶意宏代码段比较(左)近期发现的新样本(右)

近期发现的样本中表明,如果在mac平台上运行,那么就不会在执行任何动作。#If Mac Then表明,macOS特定攻击并没有从这次的恶意宏中开始。

Mac app bundle含有恶意和合法的Flash播放器

除了该样本外,@cyberwar_15和Qianxin科技还溯源了一个与恶意excel共享C2服务器的mac app bundle:

 

图4. 样本中的Mac app bundle

因为Adobe Flash Player包含在隐藏的Mach-O文件中,因此这只是一个诱饵文件。Bundle中含有2个Flash播放器文件:一个是合法版本,一个是恶意版本。App会运行大小更小的Flash播放器作为主可执行文件,恶意版本只有名字是Flash Player。App也会运行合法的Flash Player来隐藏真实的恶意路径。

 

图5. Bundle含有2个Flash player文件

 

图6.  Flash Player app是由于Oleg Krasilnikov开发,与Adobe没有任何关系

运行该MAC app时,恶意Flash Player就会运行合法Flash来播放诱饵SWF视频。

 

图7. SWF视频在后台播放韩语歌曲,并轮播图片

研究人员对该样本进行分析发现,视频在播放时,恶意Flash Player会在路径~/.FlashUpdateCheck创建一个隐藏文件Backdoor.MacOS.NUKESPED.A。

 

图8. 恶意Flash Player在~/.FlashUpdateCheck 路径创建隐藏文件

随后,隐藏文件的驻留禁止是通过释放的PLIST文件~/Library/Launchagents/com.adobe.macromedia.plist来安装隐藏文件的。

 

图9. 释放~/Library/Launchagents/com.adobe.macromedia.plist的代码,隐藏文件~/.FlashUpdateCheck是自动运行的

进一步检查表明隐藏文件~/.FlashUpdateCheck的作用和释放的Powershll脚本是等价的。研究人员发现了多个与以下服务器的C2通信相关的函数:

 

图10.隐藏文件_DATA部分中的C2服务器

变种的后门函数

为了触发Backdoor.MacOS.NUKESPED.A的后门功能,必须首先尝试连接到上述服务器,其中craypot[.]live是第一顺序的。成功连接后,会继续到其真实的后门路径。

 

图11. 在该路径中,文件会评估服务器的响应,并根据接收到的命令号来执行特定函数

 

图12. 后门函数11, 12, 14伪代码

 

图13. 后门函数18, 19, 20, 21, 24, 25伪代码

image.png 

表 1. Backdoor.MacOS.NUKESPED.A的完整后门函数

 

图14. MacOS隐藏文件有与执行的隐藏在Excel的PowerShell类似的后门功能 

结论

与Lazarus之前的方法不同,该样本表明这种攻击类型在运行恶意路径来分割完整的mac攻击链时使用了含有诱饵文件的app。Lazarus这样的网络犯罪分子正在通过不同的平台来扩张其攻击范围。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/mac-backdoor-linked-to-lazarus-targets-korean-users/如若转载,请注明原文地址: https://www.4hou.com/info/news/21707.html
点赞 5
Mac
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论