Новый троян Komplex атакует macOS

Исследователи Palo Alto Networks сообщили об обнаружении трояна Kompelx, авторство которого они приписывают группе «правительственных хакеров» Sofacy, также известной под именами Fancy Bear, APT28, Sednit, Pawn Storm и Strontium. Именно этой группе приписывают ответственность за взлом Демократической партии США.

Исследователи пишут, что на данный момент ими были замечены три версии трояна: для x64 архитектуры, для x86 архитектуры и универсальная версия, для обеих архитектур сразу. Эксперты отметили, что по ряду признаков Komplex очень похож на вредоноса, который был найден специалистами BAE Systems еще в середине 2015 года. Сравнив поведение трояна и структуру кода, а также добавив к собственным изысканиям данные BAE Systems, исследователи пришли к выводу, что Komplex – это модификация трояна Carberp, ориентированного на Windows-системы. Carberp ранее атаковал правительственные организации в США.

Судя по всему, для распространения Kompelx использует социальную инженерию. Так, во время первой фазы атаки, троян эксплуатирует уязвимость в MacKeeper и маскируется под PDF-файл с данными о федеральной космической программе России на 2016-2025 годы (см. иллюстрацию выше). Из этого исследователи делают вывод, что на этот раз цели трояна могут быть каким-то образом связаны с аэрокосмической индустрией. В ходе второй фазы атаки вредонос скачивает на зараженную машину дроппер с пейлоадом малвари и приступает к сбору данных о системе. Затем вся информация передается на управляющий сервер злоумышленников.

После этого операторам трояна нужно решить, какой именно модуль стоит задействовать в этом конкретном случае. Исследователи сообщают, что различные модули Komplex способны скачивать дополнительные файлы на скомпрометированную машину, запускать и удалять любые другие файлы, собирать и похищать различные данные, а также выполнять произвольные команды.

В заключение эксперты пишут, что пока неизвестно, на кого именно в этот раз нацелились «правительственные хакеры», но повторяют тезис о возможных атаках на людей, имеющих отношение к аэрокосмической индустрии. Сходство с трояном Carberp исследователи объясняют тем, что хакеры, вероятнее всего, хотели облегчить себе жизнь и использовать один командный сервер для управления скомпрометированными машинами под управлением Windows и macOS.

Источник: xakep.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s