MacOS中的网络犯罪活动持续增长,越来越多的恶意软件开发者将矛头转向macOS。Trend Micro研究人员发现一个与Lazarus组织有关的mac后门,使用启用宏的Excel来攻击韩国用户。
与Lazarus的相似之处
研究人员分析了Twitter用户cyberwar_15发现的恶意样本,奇热发现恶意样本使用了含有嵌入宏的Excel文档,这与Lazarus组织之前的攻击非常相像。
图1. 显示心理测试的excel表单,点击图片左上方会根据用户选择的答案显示不同的内容
与之前的攻击活动不同,文件中的宏会运行一个连接到3个C2服务器的PowerShell脚本:
图2. 宏文件连接到C2地址hxxps[:]//crabbedly[.]club/board[.]php, hxxps[:]//craypot[.]live/board[.]php, and hxxps[:]//indagator[.]club/board[.]php.
图3. 恶意宏代码段比较(左)近期发现的新样本(右)
近期发现的样本中表明,如果在mac平台上运行,那么就不会在执行任何动作。#If Mac Then表明,macOS特定攻击并没有从这次的恶意宏中开始。
Mac app bundle含有恶意和合法的Flash播放器
除了该样本外,@cyberwar_15和Qianxin科技还溯源了一个与恶意excel共享C2服务器的mac app bundle:
图4. 样本中的Mac app bundle
因为Adobe Flash Player包含在隐藏的Mach-O文件中,因此这只是一个诱饵文件。Bundle中含有2个Flash播放器文件:一个是合法版本,一个是恶意版本。App会运行大小更小的Flash播放器作为主可执行文件,恶意版本只有名字是Flash Player。App也会运行合法的Flash Player来隐藏真实的恶意路径。
图5. Bundle含有2个Flash player文件
图6. Flash Player app是由于Oleg Krasilnikov开发,与Adobe没有任何关系
运行该MAC app时,恶意Flash Player就会运行合法Flash来播放诱饵SWF视频。
图7. SWF视频在后台播放韩语歌曲,并轮播图片
研究人员对该样本进行分析发现,视频在播放时,恶意Flash Player会在路径~/.FlashUpdateCheck创建一个隐藏文件Backdoor.MacOS.NUKESPED.A。
图8. 恶意Flash Player在~/.FlashUpdateCheck 路径创建隐藏文件
随后,隐藏文件的驻留禁止是通过释放的PLIST文件~/Library/Launchagents/com.adobe.macromedia.plist来安装隐藏文件的。
图9. 释放~/Library/Launchagents/com.adobe.macromedia.plist的代码,隐藏文件~/.FlashUpdateCheck是自动运行的
进一步检查表明隐藏文件~/.FlashUpdateCheck的作用和释放的Powershll脚本是等价的。研究人员发现了多个与以下服务器的C2通信相关的函数:
图10.隐藏文件_DATA部分中的C2服务器
变种的后门函数
为了触发Backdoor.MacOS.NUKESPED.A的后门功能,必须首先尝试连接到上述服务器,其中craypot[.]live是第一顺序的。成功连接后,会继续到其真实的后门路径。
图11. 在该路径中,文件会评估服务器的响应,并根据接收到的命令号来执行特定函数
图12. 后门函数11, 12, 14伪代码
图13. 后门函数18, 19, 20, 21, 24, 25伪代码
表 1. Backdoor.MacOS.NUKESPED.A的完整后门函数
图14. MacOS隐藏文件有与执行的隐藏在Excel的PowerShell类似的后门功能
结论
与Lazarus之前的方法不同,该样本表明这种攻击类型在运行恶意路径来分割完整的mac攻击链时使用了含有诱饵文件的app。Lazarus这样的网络犯罪分子正在通过不同的平台来扩张其攻击范围。
