Mac用户当心！APT骇客组织锁定macOS用户植入后门，多数防毒软件尚无法侦测相关行为

今年骇客锁定macOS电脑发动攻击，且难以被侦测出来的情况，已有前例，像是有假冒Flash Player安装程式的MacOffers木马程式，不仅能躲过苹果App Store应用程序市集的公证机制，就连许多的防毒软件都无法分辨。而在11月27日，趋势科技公布他们近期发现的macOS后门程式，骇客借由伪装成Word文件的ZIP档案，诱使受害者开启而中招。该公司亦表示，在他们公布这个后门程式攻击细节的当下，许多的防毒软件还无法侦测为有害。

至于骇客的身份为何？趋势科技根据这个后门程式的特征，再加上看到骇客使用越南文，而认为是越南骇客组织OceanLotus（又称APT32、APT-C-00）。根据MalPedia的资料，这个组织最早在2011年就出现，传闻背后有越南-支援。该组织过去的主要攻击目标，是越南的异议份子与竞争国家，最近的事件则是在今年4月，他们锁定中国应急管理部和武汉市-，发动钓鱼邮件攻击。该组织再度引起关注其中的原因之一，就是发生在去年疑似先是攻击了大型日本车厂丰田，后来又透过渗透测试工具入侵BMW与现代车厂的事件，而被外界认为可能与扶植越南当地大型集团VinFast成立的汽车工厂有关。

不过，OceanLotus并非首度针对macOS电脑发动攻击。在2018年趋势科技就发现相关攻击。而在此之前，2017年Palo Alto Networks也有发现该组织的恶意软件。

借由滥用特殊字元造成档案型态混淆，让macOS启动终端机来执行恶意程式脚本

而在11月底趋势揭露的攻击事件中，骇客是如何散布这个后门程式？他们是借由钓鱼邮件做为管道，挟带做为附件。为了让收到信件的人将附件开启，骇客利用了特殊字元来命名该恶意软件，并使用Word文件图示等方式来伪装，使得收件人会以为看到附件是Word文件。但实际上，这个档案是内含多个资料夹的ZIP档案，而非真的可被微软Office开启的Word文件，一旦使用者点选执行，macOS会因为档案名称的特殊字元，将它当作无法识别的档案型态，而预设开启终端机，触发这个ZIP档案里的恶意指令脚本。

而在这个脚本执行后，使用者还会看到一份Word文件被开启，而文件内容只有一堆乱码。但实际上，攻击已经在背后持续进行，而且为载入架设后门的工具做准备。为何利用这么繁锁的方法进行？趋势科技表示，骇客这么做的目的，就是要规避防毒软件的侦测。

但这次攻击行动的意图和目标为何？趋势科技认为，从档案名称使用越南文来看，骇客是针对当地的macOS用户而来。但对于攻击意图的部分，该公司并未进一步说明。

针对OceanLotus善用规避手法的攻击行为，使用者要如何防范相关攻击手法？趋势科技认为，首先，使用者要对于来路不明的信件提高警觉，不要开启当中的附件；再者，则是维持电脑操作系统与软件为最新版本等措施，也有助于减少相关攻击带来的影响。