Исследователи Palo Alto Networks сообщили об обнаружении трояна Kompelx, авторство которого они приписывают группе «правительственных хакеров» Sofacy, также известной под именами Fancy Bear, APT28, Sednit, Pawn Storm и Strontium. Именно этой группе приписывают ответственность за взлом Демократической партии США.

Исследователи пишут, что на данный момент ими были замечены три версии трояна: для x64 архитектуры, для x86 архитектуры и универсальная версия, для обеих архитектур сразу. Эксперты отметили, что по ряду признаков Komplex очень похож на вредоноса, который был найден специалистами BAE Systems еще в середине 2015 года. Сравнив поведение трояна и структуру кода, а также добавив к собственным изысканиям данные BAE Systems, исследователи пришли к выводу, что Komplex – это модификация трояна Carberp, ориентированного на Windows-системы. Carberp ранее атаковал правительственные организации в США.

new-mac-komplex-trojan-used-for-cyber-espionage-508676-3

Судя по всему, для распространения Kompelx использует социальную инженерию. Так, во время первой фазы атаки, троян эксплуатирует уязвимость в MacKeeper и маскируется под PDF-файл с данными о федеральной космической программе России на 2016-2025 годы (см. иллюстрацию выше). Из этого исследователи делают вывод, что на этот раз цели трояна могут быть каким-то образом связаны с аэрокосмической индустрией. В ходе второй фазы атаки вредонос скачивает на зараженную машину дроппер с пейлоадом малвари и приступает к сбору данных о системе. Затем вся информация передается на управляющий сервер злоумышленников.

После этого операторам трояна нужно решить, какой именно модуль стоит задействовать в этом конкретном случае. Исследователи сообщают, что различные модули Komplex способны скачивать дополнительные файлы на скомпрометированную машину, запускать и удалять любые другие файлы, собирать и похищать различные данные, а также выполнять произвольные команды.

В заключение эксперты пишут, что пока неизвестно, на кого именно в этот раз нацелились «правительственные хакеры», но повторяют тезис о возможных атаках на людей, имеющих отношение к аэрокосмической индустрии. Сходство с трояном Carberp исследователи объясняют тем, что хакеры, вероятнее всего, хотели облегчить себе жизнь и использовать один командный сервер для управления скомпрометированными машинами под управлением Windows и macOS.

Подробный анализ трояна Komplex можно найти в блоге Palo Alto Networks.

Оставить мнение

Check Also

eBay умышленно ухудшает безопасность, предлагая использовать SMS-сообщения вместо токенов

Известный ИБ-журналист Брайан Кребс обратил внимание, что eBay пытается понизить безопасно…