Komplex ist, nach Sicherheitsforscher von Palo Alto Networks, ein neuer Trojaner für Mac OS X, die geglaubt wird, um die Aktivitäten der Sofacy verknüpft werden (auch als APT28 bekannt, Pfand-Sturm, Fancy Bär, und Sednit), eine russische Cyberspionagegruppe. Obwohl noch keine Opfer gemeldet wurden, Das Forschungsteam hat die Nutzlast der Malware entdeckt. Zudem, Forscher haben herausgefunden, dass der Trojaner speziell auf Menschen in der Luft- und Raumfahrtindustrie zugeschnitten ist.
Technischer Überblick über den Komplex-Trojaner
Bisher sind drei Versionen des Trojaners bekannt:
- Eine komplexe Version für die x64-Architektur;
- Eine komplexe Version für die x86-Architektur;
- Und eine dritte Version für beide Architekturen.
Der Trojaner besteht aus mehreren Teilen, Das erste führt mit einer Bindemittelkomponente, die für das Speichern einer zweiten Nutzlast und eines Täuschungsdokuments im System verantwortlich ist. Wir haben drei verschiedene Versionen des Komplex-Binders gefunden, eine, die für die Ausführung auf x86 erstellt wurde, ein anderer auf x64, und ein dritter, der Ordner für x86- und x64-Architekturen enthielt.
Während der Analyse der Forscher, Es wurde bekannt, dass Komplex bei einem früheren Angriff eingesetzt wurde, der auf Opfer mit OS X abzielte. Der Angriff nutzte eine Sicherheitsanfälligkeit in der MacKeeper-Anwendung aus und lieferte Komplex als Nutzlast. Nicht überraschend, Der Trojaner hat viel mit einem anderen von APT29 bereitgestellten Tool gemeinsam - Carberp, das für Windows-Benutzer bereitgestellt wurde.
Neben gemeinsam genutztem Code und Funktionalität, die Forscher entdeckte auch Komplex Befehl und Kontrolle (C2) Domänen, die sich mit zuvor identifizierten Infrastrukturen für Phishing-Kampagnen überschneiden, die derselben Cyberkriminellengruppe zugeordnet sind.
Hier finden Sie die vollständige Liste der gemeinsam genutzten Funktionen der Windows Carberp-Malware:
- Gleiche URL-Generierungslogik mit zufälligen Pfadwerten, eine zufällige Dateierweiterung und ein verschlüsseltes Token;
- Dieselben Dateierweiterungen, die in der C2-URL verwendet werden und in derselben Reihenfolge in den Binärdateien aufgeführt sind;
- Derselbe Algorithmus, der zum Ver- und Entschlüsseln des Tokens in den URL- und HTTP-POST-Daten verwendet wird (Der Carberp-Schlüssel wird mit dem Wert 0xAA7D756 geändert, während Komplex 0xE150722 verwendet);
- Sehr ähnliche Befehlsbehandlung, einschließlich Parsing speziell für Execute, Löschen, [Datei], [/Datei], Dateiname, und PathToSave;
- Überprüft die Internetverbindung, indem eine Verbindung zu google.com hergestellt wird;
- Verwendet einen 11-Byte-XOR-Schlüssel, um Zeichenfolgen innerhalb der Konfiguration zu entschlüsseln.
Forscher haben mehrere Module entdeckt, mit denen Cyberkriminelle Dateien auf die Zielsysteme herunterladen können, Daten stehlen, oder Befehle ausführen. Kurz setzen, Komplex ist ein Mac-Port des Carberp-Trojaners für Windows, der gegen einen Regierungsbeamten in den USA eingesetzt wurde.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: