ウイルス対策企業のトレンドマイクロは、macOSを標的とした新たなバックドアを発見しました。このバックドアはOceanLotusに関連しています。OceanLotus（別名APT32）は、2017年に活動を開始したハッカー集団です。人権団体、メディア組織、研究機関、海事建設会社などを標的に攻撃を仕掛けてきました。

macOSバックドア

トレンドマイクロはこのバックドアをOSX_OCEANLOTUS.Dと特定しました。Perlプログラミング言語がインストールされているMacを標的とします。このバックドアは悪意のあるWord文書内で最初に発見され、おそらくメールを介して拡散しました。

この文書のファイル名は「2018-PHIẾU GHI DANH THAM DỰ TĨNH HỘI HMDC 2018.doc」で、これは「2018-HMDC総会登録フォーム」を意味します。これは、HDMCのイベントへの登録フォームであると主張しています。HDMCは、国家の独立と民主主義を推進するベトナムの組織です。

文書を受信すると、Wordマクロを有効にするように指示されます。Wordマクロとは、Microsoft Wordで特定のタスクを自動化できるスクリプトの一種です。コードは10進ASCIIコードで難読化されています。

トレンドマイクロがコードの難読化を解除したところ、ペイロードはPerlで記述されていることが判明しました。ペイロードは、/tmp/system/word/theme/syslogdに抽出されたMach-O 32ビット実行ファイルであるtheme0.xmlを抽出します。

何かできますか？

まず、macOSにはデフォルトでPerlのバージョンがインストールされているようです。ダウンロードはしていませんが、ターミナルコマンドを実行したところ、

パール -v

Perlのバージョンを教えてくれました。とはいえ、このようなメールを受け取る人は少ないでしょう。しかし、The Mac Observerには、フィッシング攻撃から身を守るためのベストプラクティスがいくつか紹介されています。

1. 知らない送信者からのメールは開かないでください。
2. メールを開いた場合は、URL をクリックしたり、添付ファイルをダウンロードしたりしないでください。
3. Mac を定期的にバックアップしてください。
4. ウイルス対策ソフトウェアを使用してください。BitdefenderとAviraをお勧めします。

メールでWord文書を受信し、それが欲しい、あるいは必要なものであれば、iCloud.comのPagesで開くことができます。そして、それをコピーして新しい文書に貼り付けるか、そこからWord文書として書き出すことができます。Wordのマクロはマルウェアの大きな感染経路となるため、必ずオフにしておきましょう。