___

Исследователи из Trend Micro описывают новый вид бэкдора для MacOS, авторство которого приписывается вьетнамской APT OceanLotus . Мы ранее делали обзор на эту прогосударственную хакерскую группу здесь. Первичная компрометация происходит посредством Zip-архива, замаскированного под документ Word, который называется "ALL tim nha Chi Ngoc Canada", что с вьетнамского примерно означает "Все ищут дом миссис Нгок в Канаде". Не понятно, что это означает, но почему-то такой документ используется в качестве приманки. Может это какая-то местная фишка? Для обхода обнаружения антивирусными решениям в название архива добавлены несколько специализированных символов. После активации первичного вредоноса извлекается полезная нагрузка, которая уже извлекает непосредственно сам бэкдор. Он обладает некоторыми функциями RAT - собирает информацию о системе, поддерживает связь с управляющим центром, а также может работать с файловой системой и подгружать дополнительные функциональные модули. Принадлежность выявленного вредоноса OceanLotus подтверждается сходством в коде с более ранними бэкдорам вьетнамцев. Японские исследователи предполагают, что эта фишинговая кампания расчитана на иностранные компании, работающие во Вьетнаме, с целью дать конкурентное преимущество вьетнамским фирмам. Но они забывают, что ранее Ocean Lotus были замечены в работе по представителям вьетнамских диссидентских кругов за рубежом, так что вполне возможно, что новый бэкдор предназначен именно для них. #APT # OceanLotus