Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

TrojanerIm Rahmen der Erforschung des Komplex-Trojaners der Sofacy-Gruppe ist Palo Alto Networks, auf einen Backdoor-Trojaner gestoßen, der offensichtlich gezielt eingesetzt wird, um Angriffe auf MacOS-Nutzer durchzuführen. 

Die Sofacy-Gruppe, auch bekannt APT28, Pawn Storm, Fancy Bear, und Sednit, verwendet bei ihren Angriffen immer wieder neue Tools.

Der Name des von den Autoren „XAgentOSX“ genannten Trojaners setzt sich aus „XAgent“, einem Windows-basierten Trojaner der Sofacy-Gruppe, und OS X, Apples früherem Namen für MacOS, zusammen. Die innerhalb der Tools gefundenen Projektpfade lassen darauf schließen, dass der gleiche Akteur sowohl die Komplex- als auch XAgentOSX-Tools entwickelt hat. Die Forscher gehen davon aus, dass Sofacy zunächst Komplex einsetzt, um das XAgentOSX-Tool herunterzuladen und zu installieren, und dann dessen erweiterten Befehlssatz auf dem kompromittierten Mac-System zu verwenden.

Die MacOS-Variante von XAgent hat die Fähigkeit, Befehle von den Bedrohungsakteuren über einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben über seine Keylogger-Funktionalität zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, während der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.

XAgent verwendet HTTP-Anfragen, um mit seinen C2-Servern zu kommunizieren, wodurch die Bedrohungsakteure mit dem kompromittierten System interagieren können. Der Trojaner nutzt HTTP-POST-Anforderungen, um Daten an den C2-Server zu senden und GET-Anforderungen, um Befehle vom Server zu empfangen. Die Forscher führen derzeit weitere Analysen aus, um die spezifische Struktur der zwischen dem Trojaner und dem C2-Server gesendeten Daten zu ermitteln. Es scheint jedoch, dass der Trojaner den RC4-Algorithmus verwendet, um Daten zu verschlüsseln, die an den C2-Server innerhalb von HTTP-POST-Anforderungen gesendet werden.

Die C2-URLs, die von XAgentOSX generiert werden, sind sehr ähnlich denen seines Windows-basierten Pendants. Beim Erzeugen der URL für die HTTP-Anfragen, die an den C2-Server ausgegeben werden, wählt der Trojaner einen zufälligen Ordner, der innerhalb des URL-Pfads enthalten ist. Der XAgent C2-Server stellt Befehle für den Trojaner zur Verfügung, um auf dem kompromittierten System Antworten auf eingehende HTTP-Anforderungen auszuführen.

Den Forschern von Palo Alto Networks fiel besonders der Befehl „showBackupIosFolder“ auf, da er es den Akteuren ermöglicht, festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Geräts, wie iPhone oder iPad, verwendet wurde. Die Akteure könnten daraufhin weitere Befehle in XAgent verwenden, um diese Dateien zu exfiltrieren.

Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuführen. Das jüngst entdeckte, auf Apple-Geräte abzielende Tool nutzt eine ähnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchführte.

Mehr Informationen finden Sie hier.
 

GRID LIST
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Vogel fängt Wurm

Die Rückkehr des Wurms

Vectra erwartet vermehrt Angriffe mit Würmern, Datendiebstahl in der Cloud und einen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security