資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-4194-b9e53-1.html

資安廠商發現一起與 APT 駭侵團體有關的後門惡意軟體攻擊行動,利用偽裝的 Word 檔案夾帶指令檔,欺騙 macOS 用戶安裝後門惡意軟體並竊取機敏資訊。

資安廠商趨勢科技,日前發現一起與APT 駭侵團體有關的後門惡意軟體攻擊行動;駭侵者利用偽裝的 Word 檔案夾帶指令檔,意圖欺騙 macOS 用戶安裝後門惡意軟體,竊取機敏資訊並發動後續攻擊行動。

趨勢科技的資安研究人員在報告中指出,該公司截獲的惡意軟體取樣,會偽裝成一個 Microsoft Word 檔案,但事實上是一個經由 zip 壓縮的程式碼安裝包;這個安裝包的檔名中含有一些特殊字元,以逃避某些防毒防駭軟體的偵測。

用戶如果點擊這個偽裝的 Word 檔,實際上會執行一段 shell script 指令碼;這段指令碼會下載後續的惡意軟體,並且更改檔案屬性,並試圖自我刪除以隱匿蹤跡;最後會在用戶的 macOS 系統中安裝後門惡意軟體,將各種系統配置資訊上傳到駭侵者布署的控制伺服器,同時接受指令,發動進一步的駭侵攻擊。

趨勢科技說,根據其惡意軟體使用的程式碼片段,以及檔案中使用越南文來看,該惡意攻擊可能與著名的 APT 駭侵團體 APT32(又名 OceanLotus)有關;該團體於 2020 年曾被發現試圖竊取中國的 Covid-19 相關資訊。

趨勢科技呼籲所有使用者,不要開啟可疑對象寄送的任何檔案,特別是公私機構常常是這類駭侵者的攻擊目標,應加強內部的資安教育訓練,隨時更新軟硬體系統,並且加強資安防護能力。

相關連結

  1. New MacOS Backdoor Connected to OceanLotus Surfaces
  2. Vietnam-Linked Cyberspies Use New macOS Backdoor in Attacks