close

APT 駭侵團體以最新 macOS 後門惡意軟體發動攻擊.png

資安廠商發現一起與 APT 駭侵團體有關的後門惡意軟體攻擊行動,利用偽裝的 Word 檔案夾帶指令檔,欺騙 macOS 用戶安裝後門惡意軟體並竊取機敏資訊。

資安廠商趨勢科技,日前發現一起與APT 駭侵團體有關的後門惡意軟體攻擊行動;駭侵者利用偽裝的 Word 檔案夾帶指令檔,意圖欺騙 macOS 用戶安裝後門惡意軟體,竊取機敏資訊並發動後續攻擊行動。

趨勢科技的資安研究人員在報告中指出,該公司截獲的惡意軟體取樣,會偽裝成一個 Microsoft Word 檔案,但事實上是一個經由 zip 壓縮的程式碼安裝包;這個安裝包的檔名中含有一些特殊字元,以逃避某些防毒防駭軟體的偵測。

用戶如果點擊這個偽裝的 Word 檔,實際上會執行一段 shell script 指令碼;這段指令碼會下載後續的惡意軟體,並且更改檔案屬性,並試圖自我刪除以隱匿蹤跡;最後會在用戶的 macOS 系統中安裝後門惡意軟體,將各種系統配置資訊上傳到駭侵者布署的控制伺服器,同時接受指令,發動進一步的駭侵攻擊。

趨勢科技說,根據其惡意軟體使用的程式碼片段,以及檔案中使用越南文來看,該惡意攻擊可能與著名的 APT 駭侵團體 APT32(又名 OceanLotus)有關;該團體於 2020 年曾被發現試圖竊取中國的 Covid-19 相關資訊。

趨勢科技呼籲所有使用者,不要開啟可疑對象寄送的任何檔案,特別是公私機構常常是這類駭侵者的攻擊目標,應加強內部的資安教育訓練,隨時更新軟硬體系統,並且加強資安防護能力。


  • 參考連結

https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html

https://www.securityweek.com/vietnam-linked-cyberspies-use-new-macos-backdoor-attacks

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()