安全事件情报：Lazarus Group在2FA应用程序中隐藏了macOS间谍软件

0x00 概述

Malwarebytes labs最近发现与朝鲜的Lazarus小组相关的Dacls远程访问木马（RAT）的新变种，该变种是专门为Mac操作系统设计的。Dacls是由Qihoo 360 NetLab在2019年12月发现的，是针对Windows和Linux平台的功能齐全的秘密远程访问木马。

此Mac版本与Linux版本相似，它具有多种功能，包括命令执行，文件管理，流量代理和蠕虫扫描。通过用于macOS的Trojanized两步验证应用程序发行，该应用程序称为MinaOTP，主要由中国用户使用。

0x01 危险等级

0x02威胁详情

初始安装

Malwarebytes的研究人员在周三的帖子中说，仔细研究该恶意软件，该恶意Mac可执行文件位于伪造应用程序的“ Contents / Resources / Base.lproj /”目录中，并假装为nib文件。一旦启动，它将创建一个属性列表（plist）文件，该文件指定重新启动后需要执行的应用程序，并且plist文件的内容在应用程序中进行了硬编码。分析师指出，这可以确保持久性。

该恶意软件还具有一个用AES加密的配置文件，该文件伪装成与Apple Store有关的数据库文件：“ Library / Caches / Com.apple.appstore.db”。

“ IntializeConfiguration”功能使用硬编码的命令和控制（C2）服务器列表初始化此配置文件。

根据Malwarebytes的说法，“通过从C2服务器接收命令来不断更新配置文件。”安装后的应用程序名称为“ Mina”，与Dacl一起作为MinaOTP应用程序。

信息收集

连接到C2并更新配置文件后，该恶意软件随后通过调用“ getbasicinfo”功能（0x700）从受害者的计算机上载收集的信息，并发送“心跳”信息（0x900）。命令代码与以前观察到的Linux版本完全相同。

它还加载了七个模块，Linux变体中也包含六个。离群值是一个名为“ SOCKS”的附加插件，该插件用于代理从受害者到C2服务器的网络流量。每个插件在配置文件中都有自己的配置部分，该部分将在插件初始化时加载。

为了连接到C2服务器，该应用程序首先建立TLS连接，然后执行信标，最后使用RC4算法对通过SSL发送的数据进行加密。Mac和Linux变体都使用WolfSSL库进行SSL通信，这是C语言中TLS的开源实现，支持多种平台。

插件

根据Malwarebytes的说法，第一个插件是CMD插件，与Linux RAT中的“ Bash”插件类似，后者通过向C2服务器提供反向外壳来接收和执行命令。

接下来是File插件，它可以读取，删除，下载和搜索目录中的文件。

分析称：“ Mac版本与Linux版本之间的唯一区别是Mac版本没有写入文件的能力。”

第三个是Process插件，用于杀死，运行和获取进程ID以及收集进程信息。

第四个是Test插件，它检查与C2服务器指定的IP地址和端口的连接。

第五是RP2P插件，这是一个代理服务器，用于避免从受害者到参与者的基础设施直接通信。

从Linux Dacls移植的六个模块中，最后一个是LogSend插件，它包含三个模块。这些检查与日志服务器的连接；实施蠕虫扫描程序；并执行长期运行的系统命令。根据Malwarebytes，此插件使用HTTP发布请求发送收集的日志。

同时，新的SOCKS插件“类似于RP2P插件，并充当中介，以指导bot和C＆C基础设施之间的流量”。

0x03 总结

我们认为Dcals RAT的Mac变体与Lazarus小组（也称为Hidden Cobra和APT 38）有关，Lazarus小组是自2009年以来一直从事网络间谍活动和网络犯罪活动的臭名昭著的朝鲜威胁演员。 

该组织是最复杂的参与者之一，能够制作自定义恶意软件以针对不同平台。此Mac RAT的发现表明该APT小组正在不断开发其恶意软件工具集。

0x04 参考链接

malwarebytes实验室报告：

https://blog.malwarebytes.com/threat-analysis/2020/05/new-mac-variant-of-lazarus-dacls-rat-distributed-via-trojanized-2fa-app/