Komplex is, volgens veiligheid onderzoekers van Palo Alto Networks, een nieuw Trojaans paard voor Mac OS X, die wordt verondersteld te worden gekoppeld aan de activiteiten van Sofacy (ook bekend als APT28, Pawn Storm, Fancy Bear, en Sednit), een Russische cyberspionagegroep. Ook al zijn er nog geen slachtoffers gemeld, het onderzoeksteam heeft de malware-payload opgemerkt. Bovendien, onderzoekers hebben ontdekt dat de trojan is aangepast om mensen in de lucht- en ruimtevaartindustrie te targeten.
Technisch overzicht van Complex Trojan
Er zijn drie versies van de Trojan bekend als far:
- Een Komplex-versie voor x64-architectuur;
- Een Komplex-versie voor x86-architectuur;
- En een derde versie voor beide architecturen.
De Trojan heeft meerdere delen, eerste leidend met een bindmiddelcomponent die verantwoordelijk is voor het opslaan van een tweede nuttige lading en een lokdocument naar het systeem. We hebben drie verschillende versies van de Komplex-binder gevonden, een die is gemaakt om te draaien op x86, een andere op x64, en een derde met bindmiddelen voor zowel x86- als x64-architecturen.
Tijdens de analyse van de onderzoekers, het werd bekend dat Komplex werd gebruikt in een eerdere aanval die gericht was op slachtoffers met OS X. De aanval maakte misbruik van een kwetsbaarheid in de MacKeeper-toepassing en leverde Komplex als een payload op. Niet verrassend, de Trojan heeft veel gemeen met een andere tool die door APT29 is ingezet – Carberp die werd ingezet tegen Windows-gebruikers.
Naast gedeelde code en functionaliteit, de onderzoekers ontdekte ook Komplex command and control (C2) domeinen die overlapten met eerder geïdentificeerde phishing-campagne-infrastructuren die zijn gekoppeld aan dezelfde cybercriminele groep.
Hier is de volledige lijst van gedeelde functionaliteit met de Windows Carberp-malware:
- Dezelfde logica voor het genereren van URL's met behulp van willekeurige padwaarden, een willekeurige bestandsextensie en versleuteld token;
- Dezelfde bestandsextensies die worden gebruikt in de C2-URL die in dezelfde volgorde in de binaire bestanden worden vermeld;
- Hetzelfde algoritme dat wordt gebruikt om het token in de URL- en HTTP POST-gegevens te coderen en te decoderen (Carberp-sleutel wordt gewijzigd met de waarde 0xAA7D756, terwijl Komplex 0xE150722 gebruikt);
- Zeer vergelijkbare opdrachtafhandeling, inclusief parseren specifiek voor Uitvoeren, Verwijder, [bestand], [/bestand], Bestandsnaam, en PadNaarOpslaan;
- Controleert op internetverbinding door verbinding te maken met google.com;
- Gebruikt een 11-byte XOR-sleutel om strings binnen de configuratie te decoderen.
Onderzoekers hebben verschillende modules ontdekt waarmee cybercriminelen bestanden op de beoogde systemen kunnen downloaden, gegevens te stelen, of voer opdrachten uit. binnenkort zetten, Komplex is een Mac-poort van de Carberp Trojan voor Windows die werd ingezet tegen een overheidsfunctionaris in de VS.