osxoceanlotusd - RunkIntel

# OSX_OCEANLOTUS.D > Tipo: **malware** · S0352 · [MITRE ATT&CK](https://attack.mitre.org/software/S0352) ## Descrição [OSX_OCEANLOTUS.D](https://attack.mitre.org/software/S0352) é um backdoor para macOS utilizado pelo [[g0050-apt32|APT32]] (OceanLotus), grupo de ameaça vietnamita com foco em espionagem geopolítica e econômica. Descoberto pela primeira vez em 2015, o [[g0050-apt32|APT32]] continuou aprimorando o malware com uma arquitetura de plugins para estender suas capacidades, fazendo uso específico de arquivos `.dylib`. O malware também é capaz de determinar seu nível de permissão e executar de acordo com o tipo de acesso (`root` ou `user`). O OSX_OCEANLOTUS.D utiliza comunicação não-padrão de camada de aplicação, criptografia simétrica para proteger o tráfego C2, e portas não-padrão para dificultar a detecção. A persistência é garantida via Launch Agents do macOS, que iniciam automaticamente na autenticação do usuário. O malware oculta seus arquivos usando convenções de nomenclatura de arquivos ocultos do Unix (prefixo `.`). O [[g0050-apt32|APT32]] é notório por atacar empresas estrangeiras que operam no Vietnã, organizações de direitos humanos e dissidentes, além de alvos governamentais em países vizinhos da região ASEAN. **Plataformas:** macOS ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1543-001-launch-agent|T1543.001 - Launch Agent]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] ## Grupos que Usam - [[g0050-apt32|APT32]] ## Detecção - Auditar Launch Agents e Launch Daemons criados em diretórios de usuário no macOS ([[t1543-001-launch-agent|T1543.001]]) - Monitorar carregamento de dylibs a partir de caminhos incomuns ([[t1027-013-encryptedencoded-file|T1027.013]]) - Detectar comunicação em portas não-padrão por processos sem assinatura válida da Apple ([[t1571-non-standard-port|T1571]]) - Usar ferramentas como LuLu ou Little Snitch para monitorar conexões de saída no macOS ## Relevância LATAM/Brasil O [[g0050-apt32|APT32]] tem como alvos principais organizações com interesses comerciais no Vietnã e países ASEAN. Empresas brasileiras com operações ou parcerias na região - especialmente no setor de manufatura, agricultura e comércio - podem ser alvos. Adicionalmente, o modelo de ataque do APT32 via macOS é relevante para o crescente número de profissionais brasileiros de tecnologia e executivos que utilizam dispositivos Apple como estação de trabalho principal. ## Referências - [MITRE ATT&CK - S0352](https://attack.mitre.org/software/S0352)