WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan OceanLotus trên OS X qua mặt phần mềm diệt virus
Các nhà nghiên cứu của hãng Alien Vault tiến hành phân tích chi tiết phiên bản OS X của trojan được sử dụng trong các cuộc tấn công nhắm vào các tổ chức Trung Quốc.
Trojan OceanLotus được phát hiện từ tháng 5/2015 bởi Qihoo 360. Tại thời điểm đó, hãng này đã cho hay trojan được sử dụng từ tháng 4/2012 bởi một nhóm APT nhắm mục tiêu tấn công vào các tổ chức chính phủ, viện nghiên cứu, cơ quan hàng hải và các công ty thuộc nhiều lĩnh vực khác nhau như xây dựng biển và hàng hải.
Tin tặc phát tán trojan thông qua các cuộc tấn công spear phishing và watering hole. Qihoo 360 cho biết họ tìm thấy 4 phiên bản khác nhau của trojan OceanLotus, bao gồm một phiên bản được thiết kế nhắm mục tiêu vào các hệ thống OS X, trên hơn 100 hệ thống khắp Trung Quốc.
AlienVault quan sát thấy 2 mẫu OceanLotus cho OS X, một trong số đó có thể là phiên bản đầu bởi chưa được phát triển hoàn thiện. Biến thể gần đây của loại trojan này có tỷ lệ bị phát hiện trên VirusTotal là 0 tại thời điểm AlienVault đưa ra bài phân tích ngày 8/2 và nó chỉ bị phát hiện là phiên bản của OceanLotus bởi 2 phần mềm antivirus. Mặc dù trên thực tế là mẫu trojan được tải lên dịch vụ quét phần mềm độc hại cách đây gần năm tháng.
Các phiên bản OS X của OceanLotus được đóng gói như là một gói ứng dụng ngụy trang bản cập nhật của Adobe Flash Player. Trình tải của mã độc, được thiết kế để giải mã và thực thi các thành phần chính, là một tập tin Mach-O có thể chạy trên cả i386 và x86_64.
Nhóm tin tặc phát triển trojan đã sử dụng kỹ thuật mã hóa gián tiếp XOR và một tính năng chống gỡ lỗi để tránh bị phát hiện và phân tích. Việc sử dụng các lệnh và các yêu cầu API cụ thể cho OS X cho thấy tin tặc đã quen thuộc với hệ điều hành của Apple và chúng đặc biệt thiết kế phiên bản này của OceanLotus cho OS X.
Một khi đã lây nhiễm một hệ thống, trojan thiết lập một Launch Agent (tiến trình khởi động) để duy trì sự tồn tại và cố gắng liên lạc với máy chủ C & C. Sau khi thiết lập được kết nối tới máy chủ, OceanLotus thu thập các thông tin cơ bản từ các máy tính bị nhiễm, bao gồm cả tên thiết bị, tên người dùng, ID duy nhất, và xác định xem nạn nhân có quyền root hay không.
Mã độc có khả năng thực hiện một số nhiệm vụ, bao gồm mở gói ứng dụng, trả về các thông tin về tập tin hoặc đường dẫn, lấy được một danh sách các tài liệu vừa mở, thu thập thông tin trên windows, chụp ảnh màn hình, tải tập tin từ một URL, thực thi file, chặn quá trình xử lý, và xóa các tập tin.
Tỷ lệ Mac OS X bị lây nhiễm ngày càng tăng và các hãng an ninh cũng đã xác định được một vài biến thể phức tạp của mã độc được thiết kế để nhắm mục tiêu vào các hệ thống kiểu như vậy.
Nguồn: Security Week
Trojan OceanLotus được phát hiện từ tháng 5/2015 bởi Qihoo 360. Tại thời điểm đó, hãng này đã cho hay trojan được sử dụng từ tháng 4/2012 bởi một nhóm APT nhắm mục tiêu tấn công vào các tổ chức chính phủ, viện nghiên cứu, cơ quan hàng hải và các công ty thuộc nhiều lĩnh vực khác nhau như xây dựng biển và hàng hải.
Tin tặc phát tán trojan thông qua các cuộc tấn công spear phishing và watering hole. Qihoo 360 cho biết họ tìm thấy 4 phiên bản khác nhau của trojan OceanLotus, bao gồm một phiên bản được thiết kế nhắm mục tiêu vào các hệ thống OS X, trên hơn 100 hệ thống khắp Trung Quốc.
AlienVault quan sát thấy 2 mẫu OceanLotus cho OS X, một trong số đó có thể là phiên bản đầu bởi chưa được phát triển hoàn thiện. Biến thể gần đây của loại trojan này có tỷ lệ bị phát hiện trên VirusTotal là 0 tại thời điểm AlienVault đưa ra bài phân tích ngày 8/2 và nó chỉ bị phát hiện là phiên bản của OceanLotus bởi 2 phần mềm antivirus. Mặc dù trên thực tế là mẫu trojan được tải lên dịch vụ quét phần mềm độc hại cách đây gần năm tháng.
Các phiên bản OS X của OceanLotus được đóng gói như là một gói ứng dụng ngụy trang bản cập nhật của Adobe Flash Player. Trình tải của mã độc, được thiết kế để giải mã và thực thi các thành phần chính, là một tập tin Mach-O có thể chạy trên cả i386 và x86_64.
Nhóm tin tặc phát triển trojan đã sử dụng kỹ thuật mã hóa gián tiếp XOR và một tính năng chống gỡ lỗi để tránh bị phát hiện và phân tích. Việc sử dụng các lệnh và các yêu cầu API cụ thể cho OS X cho thấy tin tặc đã quen thuộc với hệ điều hành của Apple và chúng đặc biệt thiết kế phiên bản này của OceanLotus cho OS X.
Một khi đã lây nhiễm một hệ thống, trojan thiết lập một Launch Agent (tiến trình khởi động) để duy trì sự tồn tại và cố gắng liên lạc với máy chủ C & C. Sau khi thiết lập được kết nối tới máy chủ, OceanLotus thu thập các thông tin cơ bản từ các máy tính bị nhiễm, bao gồm cả tên thiết bị, tên người dùng, ID duy nhất, và xác định xem nạn nhân có quyền root hay không.
Mã độc có khả năng thực hiện một số nhiệm vụ, bao gồm mở gói ứng dụng, trả về các thông tin về tập tin hoặc đường dẫn, lấy được một danh sách các tài liệu vừa mở, thu thập thông tin trên windows, chụp ảnh màn hình, tải tập tin từ một URL, thực thi file, chặn quá trình xử lý, và xóa các tập tin.
Tỷ lệ Mac OS X bị lây nhiễm ngày càng tăng và các hãng an ninh cũng đã xác định được một vài biến thể phức tạp của mã độc được thiết kế để nhắm mục tiêu vào các hệ thống kiểu như vậy.
Nguồn: Security Week