Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской про государственной хакерской группе APT, она же APT 32 и APT-C-00.
Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется “ALL tim nha Chi Ngoc Canada”, что с вьетнамского примерно означает “Все ищут дом миссис Нгок в Канаде”. Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка?
Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT – собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули.
Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев.
Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них.
