攻击|与OceanLotus 相关的macOS 后门( 二 )


· 一个用来收集操作系统信息、提交信息给恶意C2 服务器、接受其他的C2通信信息;
· 另一个是后门功能。
收集的信息会被加密,并发送给恶意C2服务器。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 13. 发送给C2服务器的TCP流
并从相同的服务器接收命令。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 14. 从C2服务器接收命令的TCP流
恶意软件使用的C2服务器如下所示:
· mihannevis[.]com
· mykessef[.]com
· idtpl[.]org
新变种的后门功能与老版本的类似,如下所示:
攻击|与OceanLotus 相关的macOS 后门
文章插图
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 15-16. 老版本OceanLotus变种(上)和新版本(下)的代码比较
C2域名
根据Google和Whois 历史记录,mihannevis[.]com域名是在使用C2 服务器之前用来保存其他网站信息。
攻击|与OceanLotus 相关的macOS 后门
文章插图
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 17-18. mihannevis[.]com域名历史,Whois (上)和谷歌(下)
在VirusTotal中,相关的URL查询出现在8月底。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 19. VirusTotal中与mihannevis[.]com相关的URL
之前,域名"mykessef[.]com" 被用作C2服务器。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 20. mykessef[.]com域名历史
"idtpl[.]org"域名的注册时间是3年前,之后没有更新历史。根据Whois 的查询结果,其注册商已于2020年3月底过期。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 21. idtpl[.]org 注册信息
但是,在2020年7月中旬,其IP 地址被修改为185[.]117[.]88[.]91。
攻击|与OceanLotus 相关的macOS 后门
文章插图
图 22. idtpl[.]org域名历史信息