Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

TrojanerIm Rahmen der Erforschung des Komplex-Trojaners der Sofacy-Gruppe ist Palo Alto Networks, auf einen Backdoor-Trojaner gestoßen, der offensichtlich gezielt eingesetzt wird, um Angriffe auf MacOS-Nutzer durchzuführen. 

Die Sofacy-Gruppe, auch bekannt APT28, Pawn Storm, Fancy Bear, und Sednit, verwendet bei ihren Angriffen immer wieder neue Tools.

Der Name des von den Autoren „XAgentOSX“ genannten Trojaners setzt sich aus „XAgent“, einem Windows-basierten Trojaner der Sofacy-Gruppe, und OS X, Apples früherem Namen für MacOS, zusammen. Die innerhalb der Tools gefundenen Projektpfade lassen darauf schließen, dass der gleiche Akteur sowohl die Komplex- als auch XAgentOSX-Tools entwickelt hat. Die Forscher gehen davon aus, dass Sofacy zunächst Komplex einsetzt, um das XAgentOSX-Tool herunterzuladen und zu installieren, und dann dessen erweiterten Befehlssatz auf dem kompromittierten Mac-System zu verwenden.

Die MacOS-Variante von XAgent hat die Fähigkeit, Befehle von den Bedrohungsakteuren über einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben über seine Keylogger-Funktionalität zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, während der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.

XAgent verwendet HTTP-Anfragen, um mit seinen C2-Servern zu kommunizieren, wodurch die Bedrohungsakteure mit dem kompromittierten System interagieren können. Der Trojaner nutzt HTTP-POST-Anforderungen, um Daten an den C2-Server zu senden und GET-Anforderungen, um Befehle vom Server zu empfangen. Die Forscher führen derzeit weitere Analysen aus, um die spezifische Struktur der zwischen dem Trojaner und dem C2-Server gesendeten Daten zu ermitteln. Es scheint jedoch, dass der Trojaner den RC4-Algorithmus verwendet, um Daten zu verschlüsseln, die an den C2-Server innerhalb von HTTP-POST-Anforderungen gesendet werden.

Die C2-URLs, die von XAgentOSX generiert werden, sind sehr ähnlich denen seines Windows-basierten Pendants. Beim Erzeugen der URL für die HTTP-Anfragen, die an den C2-Server ausgegeben werden, wählt der Trojaner einen zufälligen Ordner, der innerhalb des URL-Pfads enthalten ist. Der XAgent C2-Server stellt Befehle für den Trojaner zur Verfügung, um auf dem kompromittierten System Antworten auf eingehende HTTP-Anforderungen auszuführen.

Den Forschern von Palo Alto Networks fiel besonders der Befehl „showBackupIosFolder“ auf, da er es den Akteuren ermöglicht, festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Geräts, wie iPhone oder iPad, verwendet wurde. Die Akteure könnten daraufhin weitere Befehle in XAgent verwenden, um diese Dateien zu exfiltrieren.

Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuführen. Das jüngst entdeckte, auf Apple-Geräte abzielende Tool nutzt eine ähnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchführte.

Mehr Informationen finden Sie hier.
 

GRID LIST
Tb W190 H80 Crop Int 18912600147da16a52b96d162a055dfc

So lassen Sie Phishing-Attacken ins Leere laufen

Sicherheitstipps haben sich in den letzten Jahren kaum verändert. Geräte wurden zwar…
Karsten Glied

Zu unbedarfter Umgang mit der IT-Sicherheit?

Zum jüngsten Hacker-Angriff auf Politiker, Journalisten und bekannten Persönlichkeiten…
Security Concept

Verantwortung für die IT-Security der eigenen Geräte übernehmen

Auf der CES werden wie jedes Jahr eine Vielzahl neuer Geräte vorgestellt. Passend dazu…
Tb W190 H80 Crop Int 5f246ccbf6b1305119a03e5f5f5f3175

CEO & Co. als Zielscheibe von Cyberkriminellen

Die Wellen in Politik und Presse schlagen hoch, wenn persönliche Daten von Personen des…
Elmar Albinger

Politiker-Hack: Passwort "Schwachstelle Mensch"

Der Hackerangriff auf deutsche Mandatsträger und Prominente hat das politische Berlin in…
Hacker mit Tastatur

Zwischen Spaß und Verbrechen - Cybercrime als gesellschaftliches Phänomen

Er ist 20 Jahre alt, Schüler und wohnt noch bei seinen Eltern. So sieht das Profil des…
Smarte News aus der IT-Welt