Исследователи Palo Alto Networks сообщили об обнаружении трояна Kompelx, авторство которого они приписывают группе «правительственных хакеров» Sofacy, также известной под именами Fancy Bear, APT28, Sednit, Pawn Storm и Strontium. Именно этой группе приписывают ответственность за взлом Демократической партии США.
Исследователи пишут, что на данный момент ими были замечены три версии трояна: для x64 архитектуры, для x86 архитектуры и универсальная версия, для обеих архитектур сразу. Эксперты отметили, что по ряду признаков Komplex очень похож на вредоноса, который был найден специалистами BAE Systems еще в середине 2015 года. Сравнив поведение трояна и структуру кода, а также добавив к собственным изысканиям данные BAE Systems, исследователи пришли к выводу, что Komplex – это модификация трояна Carberp, ориентированного на Windows-системы. Carberp ранее атаковал правительственные организации в США.
Судя по всему, для распространения Kompelx использует социальную инженерию. Так, во время первой фазы атаки, троян эксплуатирует уязвимость в MacKeeper и маскируется под PDF-файл с данными о федеральной космической программе России на 2016-2025 годы (см. иллюстрацию выше). Из этого исследователи делают вывод, что на этот раз цели трояна могут быть каким-то образом связаны с аэрокосмической индустрией. В ходе второй фазы атаки вредонос скачивает на зараженную машину дроппер с пейлоадом малвари и приступает к сбору данных о системе. Затем вся информация передается на управляющий сервер злоумышленников.
После этого операторам трояна нужно решить, какой именно модуль стоит задействовать в этом конкретном случае. Исследователи сообщают, что различные модули Komplex способны скачивать дополнительные файлы на скомпрометированную машину, запускать и удалять любые другие файлы, собирать и похищать различные данные, а также выполнять произвольные команды.
В заключение эксперты пишут, что пока неизвестно, на кого именно в этот раз нацелились «правительственные хакеры», но повторяют тезис о возможных атаках на людей, имеющих отношение к аэрокосмической индустрии. Сходство с трояном Carberp исследователи объясняют тем, что хакеры, вероятнее всего, хотели облегчить себе жизнь и использовать один командный сервер для управления скомпрометированными машинами под управлением Windows и macOS.
Подробный анализ трояна Komplex можно найти в блоге Palo Alto Networks.