Trend Micro、macOSを標的とした新しいバックドア型マルウェア「OSX_OCEANLOTUS.D」の情報を公開。

スポンサーリンク

 Trend MicroがmacOSを標的とした新しいバックドア型マルウェア「OSX_OCEANLOTUS.D」の情報を公開しています。詳細は以下から。

Microsoft Word for Macのアイコン。

 Trend Micro Inc.は現地時間2018年04月04日、macOSを標的とした新しいバックドア型のマルウェア「OSX_OCEANLOTUS.D」を利用した攻撃が確認されたとして、TrendLabsのJaromir Horejsiさんが同社のブログでその情報を公開しています。

We identified a MacOS backdoor (detected by Trend Micro as OSX_OCEANLOTUS.D) that we believe is the latest version of a threat used by OceanLotus (a.k.a. APT 32, APT-C-00, SeaLotus, and Cobalt Kitty). […] The attackers behind OSX_OCEANLOTUS.D target MacOS computers which have the Perl programming language installed.
The MacOS backdoor was found in a malicious Word document presumably distributed via email.

New MacOS Backdoor Linked to OceanLotus Found – TrendLabs Security Intelligence Blog

 OSX_OCEANLOTUS.DはAPT32などとして知られるOceanLotusが人権団体やメディア、研究所、海上建設会社などをターゲットした攻撃に利用されており、MicrosoftのWordドキュメントを装いメールに添付され広がっているそうで、ユーザーにマクロの実行を許可させるとWrodドキュメントを介してMach-Oファイル(theme0.xml)を実行し、

Backdoor analysis
The main loop of the backdoor has two main functions, infoClient and runHandle. infoClient is reponsible for collecting OS info, submitting this info to its C&C servers (the servers are malicious in nature), and receiving additional C&C communication information. Meanwhile, runHandle is responsible for the backdoor capabilities

New MacOS Backdoor Linked to OceanLotus Found – TrendLabs Security Intelligence Blog

Mac内にあるユーザーデータを集めバックドアを作成、C&Cサーバーとの通信を始めるそうですが、既にTrend Microはじめ複数のセキュリティエンジンが対応しているので、セキュリティアプリを利用されている方はVirusTotalでチェックしてみて下さい。

OSX_OCEANLOTUS.D

Indicators of Compromise