>> サイバーニュース > Komplex Trojan for OS X Works Just Like the Windows Carberp Trojan
サイバーニュース

OSX用のKomplexトロイの木馬はWindowsCarberpトロイの木馬と同じように機能します

mac-stforum-header

Komplexは, パロアルトネットワークスのセキュリティ研究者によると, MacOSX用の新しいトロイの木馬, これはソファシーの活動に関連していると考えられています (APT28としても知られています, ポーンストーム, ファンシーベア, とセニット), ロシアのサイバースパイグループ. 犠牲者はまだ報告されていませんが, 研究チームはマルウェアのペイロードを発見しました. さらに, 研究者は、トロイの木馬が航空宇宙産業の人々を標的にするようにカスタマイズされていることを発見しました.


Komplexトロイの木馬の技術概要


これまでのところ、トロイの木馬の3つのバージョンが知られています:

  • x64アーキテクチャ用のKomplexバージョン;
  • x86アーキテクチャ用のKomplexバージョン;
  • そして、両方のアーキテクチャの3番目のバージョン.

トロイの木馬には複数の部分があります, 最初に、2番目のペイロードとおとり文書をシステムに保存する役割を担うバインダーコンポーネントでリードします. Komplexバインダーの3つの異なるバージョンが見つかりました, x86で実行するために作成されたもの, x64でもう1つ, 3つ目は、x86アーキテクチャとx64アーキテクチャの両方のバインダーが含まれていました.

研究者の分析中, Komplexは、OSXを実行している被害者を標的とした以前の攻撃で使用されたことが判明しました. この攻撃はMacKeeperアプリケーションの脆弱性を悪用し、Komplexをペイロードとして配信しました. 驚くことではないが, このトロイの木馬は、APT29によって展開された別のツールであるWindowsユーザーに対して展開されたCarberpと多くの共通点があります。.

関連している: ロシアのグループAPT29によるHammertossバックドアマルウェア

共有コードと機能に加えて, 研究者 Komplexコマンドアンドコントロールも発見 (C2) 同じサイバー犯罪グループに関連付けられた以前に特定されたフィッシングキャンペーンインフラストラクチャと重複するドメイン.

これは、WindowsCarberpマルウェアと共有される機能の完全なリストです。:

  • ランダムパス値を使用した同じURL生成ロジック, ランダムなファイル拡張子と暗号化されたトークン;
  • 同じ順序でバイナリ内にリストされているC2URLで使用される同じファイル拡張子;
  • URLおよびHTTPPOSTデータのトークンの暗号化と復号化に使用されるのと同じアルゴリズム (Carberpキーは値0xAA7D756を使用して変更されますが、Komplexは0xE150722を使用します);
  • 非常によく似たコマンド処理, 特に実行のための解析を含む, 消去, [ファイル], [/ファイル], ファイル名, およびPathToSave;
  • google.comに接続してインターネット接続を確認します;
  • 11バイトのXORキーを使用して、構成内の文字列を復号化します.

研究者は、サイバー犯罪者が標的のシステムにファイルをダウンロードできるようにするいくつかのモジュールを発見しました, データを盗む, またはコマンドを実行します. 簡単に言えば, Komplexは、米国の政府関係者に対して配備されたWindows用Carberpトロイの木馬のMacポートです。.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します