Komplexは, パロアルトネットワークスのセキュリティ研究者によると, MacOSX用の新しいトロイの木馬, これはソファシーの活動に関連していると考えられています (APT28としても知られています, ポーンストーム, ファンシーベア, とセニット), ロシアのサイバースパイグループ. 犠牲者はまだ報告されていませんが, 研究チームはマルウェアのペイロードを発見しました. さらに, 研究者は、トロイの木馬が航空宇宙産業の人々を標的にするようにカスタマイズされていることを発見しました.
Komplexトロイの木馬の技術概要
これまでのところ、トロイの木馬の3つのバージョンが知られています:
- x64アーキテクチャ用のKomplexバージョン;
- x86アーキテクチャ用のKomplexバージョン;
- そして、両方のアーキテクチャの3番目のバージョン.
トロイの木馬には複数の部分があります, 最初に、2番目のペイロードとおとり文書をシステムに保存する役割を担うバインダーコンポーネントでリードします. Komplexバインダーの3つの異なるバージョンが見つかりました, x86で実行するために作成されたもの, x64でもう1つ, 3つ目は、x86アーキテクチャとx64アーキテクチャの両方のバインダーが含まれていました.
研究者の分析中, Komplexは、OSXを実行している被害者を標的とした以前の攻撃で使用されたことが判明しました. この攻撃はMacKeeperアプリケーションの脆弱性を悪用し、Komplexをペイロードとして配信しました. 驚くことではないが, このトロイの木馬は、APT29によって展開された別のツールであるWindowsユーザーに対して展開されたCarberpと多くの共通点があります。.
共有コードと機能に加えて, 研究者 Komplexコマンドアンドコントロールも発見 (C2) 同じサイバー犯罪グループに関連付けられた以前に特定されたフィッシングキャンペーンインフラストラクチャと重複するドメイン.
これは、WindowsCarberpマルウェアと共有される機能の完全なリストです。:
- ランダムパス値を使用した同じURL生成ロジック, ランダムなファイル拡張子と暗号化されたトークン;
- 同じ順序でバイナリ内にリストされているC2URLで使用される同じファイル拡張子;
- URLおよびHTTPPOSTデータのトークンの暗号化と復号化に使用されるのと同じアルゴリズム (Carberpキーは値0xAA7D756を使用して変更されますが、Komplexは0xE150722を使用します);
- 非常によく似たコマンド処理, 特に実行のための解析を含む, 消去, [ファイル], [/ファイル], ファイル名, およびPathToSave;
- google.comに接続してインターネット接続を確認します;
- 11バイトのXORキーを使用して、構成内の文字列を復号化します.
研究者は、サイバー犯罪者が標的のシステムにファイルをダウンロードできるようにするいくつかのモジュールを発見しました, データを盗む, またはコマンドを実行します. 簡単に言えば, Komplexは、米国の政府関係者に対して配備されたWindows用Carberpトロイの木馬のMacポートです。.