ترندمیکرو خبر داد
وجود ارتباط میان در پشتی جدید سیستم عامل مک با OceanLotus
کد مطلب: 13928
تاریخ انتشار : يکشنبه ۲۶ فروردين ۱۳۹۷ ساعت ۰۸:۵۶
 
محققان ترندمیکرو می‌گویند در پشتی جدید سیستم عامل مک با گروه جاسوسی سایبری OceanLotus مرتبط است.
وجود ارتباط میان در پشتی جدید سیستم عامل مک با OceanLotus
 
 
Share/Save/Bookmark
محققان ترندمیکرو می‌گویند در پشتی جدید سیستم عامل مک با گروه جاسوسی سایبری   OceanLotus مرتبط است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به گفته‌ ترندمیکرو، در پشتی جدید سامانه‌ عامل مک که اخیرا کشف شده‌است، نسخه‌ جدیدی از بدافزاری است که پیش از این با گروه جاسوسی سایبری OceanLotus مرتبط بوده‌است.

گفته می‌شود گروه OceanLotus که به نام‌های APT ۳۲ ،APT-C-۰۰ ،SeaLotus و Cobalt Kitty نیز شناخته‌می‌شود در ویتنام فعالیت کرده و شرکت‌های برجسته و سازمان‌های دولتی آسیای جنوب شرقی را مورد هدف قرار می‌دهد. این گروه از منابع شناخته‌شده، بدافزارهای طراحی‌شده‌ سفارشی و روش‌هایی که درحال حاضر وجود دارند، استفاده می‌کند.

اهداف این گروه، سازمان‌های حقوق بشر، سازمان‌های رسانه‌ای، موسسه‌های تحقیقاتی و شرکت‌های ساخت‌وساز دریایی را شامل می‌شود.

در پشتی سامانه‌ عامل مک که اخیرا توسط ترندمیکرو و تحت عنوان OSX_OCEANLOTUS.D کشف شده‌است در دستگاه‌هایی که زبان برنامه‌نویسی پرل بر روی آنها نصب شده‌است، مشاهده شده‌است.

این بدافزار از طریق اسناد مخرب پیوست شده به ایمیل‌ها توزیع می‌شود. این اسناد با پوشش فرم ثبت‌نام برای یک رویداد با HDMC، یک سازمان در ویتنام که استقلال ملی و دموکراسی را تبلیغ می‌کند، ظاهر می‌شوند.

این اسناد حاوی ماکروهای مخرب و مبهم همراه با بارداده‌های نوشته‌شده در پرل هستند. ماکروها یک پرونده‌ XML را از سند ورد استخراج می‌کنند. این پرونده‌ قابل‌اجرا به‌عنوان یک نصب‌کننده برای بارداده‌ نهایی که همان در پشتی است، عمل می‌کند.

این نصب‌کننده که تمام رشته‌های آن با استفاده از یک کلید هاردکد شده‌ RSA۲۵۶ رمزنگاری شده‌است برای پایداری در پشتی بر روی سامانه‌های آلوده نیز استفاده‌می‌شود. این نصب‌کننده بررسی می‌کند که آیا به‌عنوان یک ریشه اجرا می‌شود یا خیر و بر اساس آن از مسیر و نام پرونده‌ مختلفی استفاده‌می‌کند.

این نصب‌کننده ویژگی‌های در پشتی را به‌صورت «پنهان» تنظیم می‌کند و برای تاریخ و زمان پرونده از مقادیر تصادفی استفاده کرده و در انتهای فرایند خود را حذف می‌کند.

این در پشتی دو عملکرد اصلی دارد که اطلاعات بستر را جمع‌آوری کرده و آنها را به کارگزار دستور و کنترل ارسال می‌کند. همچنین می‌تواند اطلاعات اضافی ارتباطات کارگزار دستور و کنترل را دریافت کند که قبل از ارسال رمزنگاری شده‌اند.

ترندمیکرو نتیجه می‌گیرد: «حملات مخربی که دستگاه‌های مک را مورد هدف قرار می‌دهند، مانند سایر حملات رایج نیستند، اما کشف این در پشتی جدید در سامانه‌ عامل مک که احتمالا از طریق ایمیل‌های فیشینگ توزیع شده‌است، بهترین شیوه برای حملات فیشینگ را بدون در نظر گرفتن سامانه‌ عامل برای هر کاربر فرامی‌خواند.»
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات