Sofacy-Gruppe nimmt Mac-Nutzer mit Backdoor-Trojaner ins Visier

TrojanerIm Rahmen der Erforschung des Komplex-Trojaners der Sofacy-Gruppe ist Palo Alto Networks, auf einen Backdoor-Trojaner gestoßen, der offensichtlich gezielt eingesetzt wird, um Angriffe auf MacOS-Nutzer durchzuführen. 

Die Sofacy-Gruppe, auch bekannt APT28, Pawn Storm, Fancy Bear, und Sednit, verwendet bei ihren Angriffen immer wieder neue Tools.

Anzeige

Der Name des von den Autoren „XAgentOSX“ genannten Trojaners setzt sich aus „XAgent“, einem Windows-basierten Trojaner der Sofacy-Gruppe, und OS X, Apples früherem Namen für MacOS, zusammen. Die innerhalb der Tools gefundenen Projektpfade lassen darauf schließen, dass der gleiche Akteur sowohl die Komplex- als auch XAgentOSX-Tools entwickelt hat. Die Forscher gehen davon aus, dass Sofacy zunächst Komplex einsetzt, um das XAgentOSX-Tool herunterzuladen und zu installieren, und dann dessen erweiterten Befehlssatz auf dem kompromittierten Mac-System zu verwenden.

Die MacOS-Variante von XAgent hat die Fähigkeit, Befehle von den Bedrohungsakteuren über einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben über seine Keylogger-Funktionalität zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, während der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.

XAgent verwendet HTTP-Anfragen, um mit seinen C2-Servern zu kommunizieren, wodurch die Bedrohungsakteure mit dem kompromittierten System interagieren können. Der Trojaner nutzt HTTP-POST-Anforderungen, um Daten an den C2-Server zu senden und GET-Anforderungen, um Befehle vom Server zu empfangen. Die Forscher führen derzeit weitere Analysen aus, um die spezifische Struktur der zwischen dem Trojaner und dem C2-Server gesendeten Daten zu ermitteln. Es scheint jedoch, dass der Trojaner den RC4-Algorithmus verwendet, um Daten zu verschlüsseln, die an den C2-Server innerhalb von HTTP-POST-Anforderungen gesendet werden.

Die C2-URLs, die von XAgentOSX generiert werden, sind sehr ähnlich denen seines Windows-basierten Pendants. Beim Erzeugen der URL für die HTTP-Anfragen, die an den C2-Server ausgegeben werden, wählt der Trojaner einen zufälligen Ordner, der innerhalb des URL-Pfads enthalten ist. Der XAgent C2-Server stellt Befehle für den Trojaner zur Verfügung, um auf dem kompromittierten System Antworten auf eingehende HTTP-Anforderungen auszuführen.

Den Forschern von Palo Alto Networks fiel besonders der Befehl „showBackupIosFolder“ auf, da er es den Akteuren ermöglicht, festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Geräts, wie iPhone oder iPad, verwendet wurde. Die Akteure könnten daraufhin weitere Befehle in XAgent verwenden, um diese Dateien zu exfiltrieren.

Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuführen. Das jüngst entdeckte, auf Apple-Geräte abzielende Tool nutzt eine ähnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchführte.

Mehr Informationen finden Sie hier.
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.