今年黑客锁定macOS计算机发动攻击,且难以被侦测出来的情况,已有前例,像是有假冒Flash Player安装程序的MacOffers木马程序,不仅能躲过苹果App Store应用程序市场的公证机制,就连许多的杀毒软件都无法分辨。而在11月27日,趋势科技公布他们近期发现的macOS后门程序,黑客借由伪装成Word文件的ZIP文件,诱使受害者打开而中招。该公司也表示,在他们公布这个后门程序攻击细节的当下,许多的杀毒软件还无法侦测为有害。
至于黑客的身份为何?趋势科技根据这个后门程序的特征,再加增至到黑客使用越南文,而认为是越南黑客组织OceanLotus(又称APT32、APT-C-00)。根据MalPedia的资料,这个组织最早在2011年就出现,传闻背后有越南政府支持。该组织过去的主要攻击目标,是越南的异议份子与竞争国家,最近的事件则是在今年4月,他们锁定中国应急管理部和武汉市政府,发动钓鱼邮件攻击。该组织再度引起关注其中的原因之一,就是发生在去年疑似先是攻击了大型日本车厂丰田,后来又通过渗透测试工具入侵BMW与现代车厂的事件,而被外界认为可能与扶植越南当地大型集团VinFast成立的汽车工厂有关。
不过,OceanLotus并非首度针对macOS计算机发动攻击。在2018年趋势科技就发现相关攻击。而在此之前,2017年Palo Alto Networks也有发现该组织的恶意软件。
而在11月底趋势披露的攻击事件中,黑客是如何传播这个后门程序?他们是借由钓鱼邮件作为渠道,挟带作为附件。为了让收到信件的人将附件打开,黑客利用了特殊字符来命名该恶意软件,并使用Word文件图标等方式来伪装,使得收件人会以为看到附件是Word文件。但实际上,这个文件是内置多个文件夹的ZIP文件,而非真的可被微软Office打开的Word文件,一旦用户点击执行,macOS会因为文件名称的特殊字符,将它当作无法识别的文件形态,而默认打开终端机,触发这个ZIP文件里的恶意指令脚本。
而在这个脚本执行后,用户还会看到一份Word文件被打开,而文件内容只有一堆乱码。但实际上,攻击已经在背后持续进行,而且为加载架设后门的工具做准备。为何利用这么繁锁的方法进行?趋势科技表示,黑客这么做的目的,就是要规避杀毒软件的侦测。
但这次攻击行动的意图和目标为何?趋势科技认为,从文件名称使用越南文来看,黑客是针对当地的macOS用户而来。但对于攻击意图的部分,该公司并未进一步说明。
针对OceanLotus善用规避手法的攻击行为,用户要如何防范相关攻击手法?趋势科技认为,首先,用户要对于来路不明的信件提高警觉,不要打开其中的附件;再者,则是维持计算机操作系统与软件为最新版本等措施,也有助于减少相关攻击带来的影响。