PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

Trojanisches PferdDas Malware-Analyseteam von Palo Alto Networks, Unit 42, hat einen neuen OS-X-Trojaner identifiziert, den es der Sofacy-Gruppe zugeordnet hat. Die Sofacy-Gruppe, auch bekannt APT28, Pawn Storm, Fancy Bear, und Sednit, verwendet bei ihren Angriffen immer wieder neue Tools. Die Ziele des jüngsten Angriffs sind offensichtlich Akteure aus der Luft- und Raumfahrtindustrie, die das OS-X-Betriebssystem nutzen.

Während der Analyse hat Unit 42 festgestellt, dass Komplex in einer früheren Angriffskampagne bereits verwendet wurde. Dabei wurde eine Schwachstelle in der Antivirus-Anwendung MacKeeper genutzt, um Komplex als Nutzlast auszuliefern. Komplex teilt sich eine erhebliche Menge an Funktionalität und Eigenschaften mit einem anderen Tool, das von Sofacy verwendet wird: die Carberp-Variante, die Sofacy in früheren Angriffskampagnen auf Windows-Systemen verwendet hatte. Neben gemeinsamem Code und Funktionalität hat Unit 42 auch Command-and-Control (C2)-Domains von Komplex entdeckt, die identisch waren mit den zuvor identifizierten Infrastrukturen für eine Phishing-Kampagne von Sofacy.

Komplex ist ein Trojaner, den die Sofacy-Gruppe erstellt hat, um Nutzer von OS-X-Geräten zu kompromittieren. Der Trojaner hat mehrere Komponenten, deren ultimatives Ziel es ist, die Nutzlast zu installieren und auszuführen. Darunter findet sich eine Binder-Komponente, die für das Speichern einer zweiten Nutzlast und eines Köderdokuments im System verantwortlich ist. Die Binder-Komponente speichert das Köderdokument roskosmos_2015-2025.pdf auf dem System und öffnet es mittels der Vorschau-Anwendung, die in OS X integriert ist. Der Inhalt des Köderdokuments deutet darauf hin, dass die Komplex-Angriffskampagne auf Ziele ausgerichtet ist, die mit der Luftfahrtindustrie in Zusammenhang stehen.

Nach der Bestimmung, dass der Trojaner nicht in einem Debugger ausgeführt wird, führt die Nutzlast eine Anti-Analyse-/Sandbox-Prüfung mittels einer GET-Anfrage an Google durch und prüft dabei auch, ob eine Internetverbindung besteht, um mit seinem C2-Server kommunizieren zu können. Nach der Bestätigung beginnt die Komplex-Nutzlast damit, ihre Hauptfunktionen auszuführen, insbesondere Daten auf dem infizierten System zu sammeln. Die Komplex-Nutzlast sendet dabei auch Systemdaten, wie Systemversion, Benutzername und Prozessliste an den C2-Server.

Die Sofacy-Gruppe hat den Komplex-Trojaner entwickelt, um das Betriebssystem OS X ins Visier zunehmen. Dies ist ein Schritt, der die weitere Entwicklung der Gruppe hin zu Multi-Plattform-Angriffen demonstriert. Der Trojaner ist in der Lage, zusätzliche Dateien auf das System zu laden, Dateien auszuführen und zu löschen sowie direkt mit der System-Shell zu interagieren. Detaillierte Informationen zu den Zielen der Kampagne sind derzeit noch nicht verfügbar, doch deutet alles darauf hin, dass Personen in der Luftfahrtindustrie ins Visier genommen werden. Die Nutzung eines ähnlichen Designs wie beim Carberp-Trojaner könnte den Hintergrund haben, kompromittierte Windows- und OS-X-Systeme relativ leicht mit der gleichen C2-Server-Anwendung zu verwalten.

www.paloaltonetworks.com

GRID LIST
Tb W190 H80 Crop Int 8c5f1d966d2eef8ccec63f1c2e1e49df

RAT: Hackers Door wird privat weiter verkauft

Der Remote Access Trojaner (RAT) „Hackers Door“ hat schon vor einiger Zeit von sich reden…
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet