VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

TrojanerIm Rahmen der Erforschung des Komplex-Trojaners der Sofacy-Gruppe ist Palo Alto Networks, auf einen Backdoor-Trojaner gestoßen, der offensichtlich gezielt eingesetzt wird, um Angriffe auf MacOS-Nutzer durchzuführen. 

Die Sofacy-Gruppe, auch bekannt APT28, Pawn Storm, Fancy Bear, und Sednit, verwendet bei ihren Angriffen immer wieder neue Tools.

Der Name des von den Autoren „XAgentOSX“ genannten Trojaners setzt sich aus „XAgent“, einem Windows-basierten Trojaner der Sofacy-Gruppe, und OS X, Apples früherem Namen für MacOS, zusammen. Die innerhalb der Tools gefundenen Projektpfade lassen darauf schließen, dass der gleiche Akteur sowohl die Komplex- als auch XAgentOSX-Tools entwickelt hat. Die Forscher gehen davon aus, dass Sofacy zunächst Komplex einsetzt, um das XAgentOSX-Tool herunterzuladen und zu installieren, und dann dessen erweiterten Befehlssatz auf dem kompromittierten Mac-System zu verwenden.

Die MacOS-Variante von XAgent hat die Fähigkeit, Befehle von den Bedrohungsakteuren über einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben über seine Keylogger-Funktionalität zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, während der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.

XAgent verwendet HTTP-Anfragen, um mit seinen C2-Servern zu kommunizieren, wodurch die Bedrohungsakteure mit dem kompromittierten System interagieren können. Der Trojaner nutzt HTTP-POST-Anforderungen, um Daten an den C2-Server zu senden und GET-Anforderungen, um Befehle vom Server zu empfangen. Die Forscher führen derzeit weitere Analysen aus, um die spezifische Struktur der zwischen dem Trojaner und dem C2-Server gesendeten Daten zu ermitteln. Es scheint jedoch, dass der Trojaner den RC4-Algorithmus verwendet, um Daten zu verschlüsseln, die an den C2-Server innerhalb von HTTP-POST-Anforderungen gesendet werden.

Die C2-URLs, die von XAgentOSX generiert werden, sind sehr ähnlich denen seines Windows-basierten Pendants. Beim Erzeugen der URL für die HTTP-Anfragen, die an den C2-Server ausgegeben werden, wählt der Trojaner einen zufälligen Ordner, der innerhalb des URL-Pfads enthalten ist. Der XAgent C2-Server stellt Befehle für den Trojaner zur Verfügung, um auf dem kompromittierten System Antworten auf eingehende HTTP-Anforderungen auszuführen.

Den Forschern von Palo Alto Networks fiel besonders der Befehl „showBackupIosFolder“ auf, da er es den Akteuren ermöglicht, festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Geräts, wie iPhone oder iPad, verwendet wurde. Die Akteure könnten daraufhin weitere Befehle in XAgent verwenden, um diese Dateien zu exfiltrieren.

Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuführen. Das jüngst entdeckte, auf Apple-Geräte abzielende Tool nutzt eine ähnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchführte.

Mehr Informationen finden Sie hier.
 

GRID LIST
Tb W190 H80 Crop Int Cc956cb8b76a48ab25093365b37dfc0c

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Im Januar 2018 wurden unter den Bezeichnungen "Spectre" und "Meltdown" schwer zu…
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security