Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Komplex Malware: The Return of Sofacy’s XAgent

Komplex Malware: The Return of Sofacy’s XAgent

Komplex Malware: The Return of Sofacy's XAgent

På tisdagen tillkännagav BitDefender Labs upptäckten av ett nytt Komplex-malware-prov, som är en variant av XAgent, en tidigare känd malware och Windows. Enligt rapporten stärktes den nya skadliga programvaran för att inte bara stjäla lösenord och skärmdumpar utan också för att stjäla iPhone-säkerhetskopior från Mac-datorer.

Medan BitDefenders rapport var spännande, kompletterades inte något. Viktiga detaljer saknades och för att vara uppriktig verkade historien rusad, så vi höll tillbaka med att gå med i titelvågen av medierapporter som följde och grävde i stället ner för att undersöka ytterligare. Och pojke är vi glada att vi gjorde det!

Några timmar efter BitDefenders inlägg släppte Palo Alto Networks (PAN) en berättelse som avslöjade upptäckten av ett nytt Komplex-prov, med namnet “XagentOSX.”

Säkerhetsrapporten från Palo Alto Networks var full av detaljer och fyllde i alla luckor som var öppna i BitDefenders berättelse. Med alla korrekta detaljer och en fullständig analys av XAgent tillgängliga, tror vi att PAN är den ursprungliga källan, och i samband med vår undersökning kommer vi att använda deras resultat för att rapportera om vad vi vet om XAgent.

Några goda godbitar från PAN: s rapport inkluderar:

Vi tror att det är möjligt att Sofacy använder Komplex för att ladda ner och installera XAgentOSX-verktyget för att använda det utökade kommandoset på det komprometterade systemet.

XagentOSX delar namnet XAgent med en av Sofacys Windows-baserade trojaner och refererar till Apples tidigare namn för macOS, OS X.

Det verkar som om samma aktör utvecklade både Komplex- och XAgentOSX-verktygen, baserat på likheter inom följande projektvägar som finns i verktygen:

Komplex: / Användare / kazak / Desktop / Project / komplex
XAgent OSX: / Användare / kazak / Desktop / Project / XAgentOSX

Den nämnda skådespelaren är Sofacy Group. Sofacy Group tros vara en statsstödd rysk cyberspionagrupp, även känd som Fancy Bear, APT28, Pawn Storm och Sednit. Du kanske minns deras engagemang i inte bara den tidigare nämnda Komplex-skadliga programvaran, utan också hackingen av världens antidopningsbyrå samt Democratic National Committee (DNC) förra året.

Palo Alto Networks fann att, förutom förväntad funktionalitet, som att samla in systeminformation, kontrollera data genom att ladda upp, ladda ner eller radera den, ta skärmdumpar och ta tag i lösenord som lagrats i Firefox, kan XAgent-verktyget kontrollera systemet för iOS-säkerhetskopior gjorda genom iTunes.

Medan olika medier rapporterade att XAgent stjäl iPhone-säkerhetskopior rapporterade PAN att kommandot “showBackupIosFolder” används för att avgöra om en mobil enhet säkerhetskopierades, men sedan spekulerar att skådespelarna skulle använda de andra kommandona inom XAgent för att exfiltrera dessa filer.

Snagging en iOS-säkerhetskopia, som kan vara över 30 GB i storlek, är inte något som enkelt kan åstadkommas utan att det upptäcks. Det är möjligt att XAgent letar efter mycket specifika data innan den bestämmer sig för att ta risken att extrahera en potentiellt stor säkerhetskopia och upptäckas.

En kort historia av XAgent-skadlig programvara

Vi stötte på namnet, XAgent, för två år sedan under en kriminell hackningsoperation, kallad “Pawn Storm”, som var en spionprogramkampanj som riktade sig mot iOS-enheter från myndigheter och journalister. Hackarnas mål var att stjäla information och kompromissa med Windows-datorer.

När ett högt profilerat Windows-dator framgångsrikt infekterats försökte angriparna installera skadlig programvara på iPhones eller iPads som kör iOS 7 (iOS 8 vid den tiden verkade inaktivera spionprogrammet).

Apple har sedan dess förbättrat iOS-säkerheten avsevärt, och det verkar vara hackarnas nya strategi att följa iPhone-data genom säkerhetskopior. När allt kommer omkring gör iPhone-säkerhetskopieringar iOS-versionen på en iPhone eller iPad irrelevant.

Detta ger några intressanta frågor. Omarbetade Sofacy Group helt enkelt en del av sin gamla kod? Har den gamla spionprogramkampanjen Pawn Storm gått samman med Komplex? Det är någons gissning vid denna tidpunkt, men det är fascinerande att se.

Vad är infektionsvektorn?

Som PAN påpekade antas XAgent laddas ner och installeras av den redan nuvarande Komplex-skadliga programvaran. Komplex befanns distribueras genom spjutfiske i form av ett skadligt PDF-dokument. Om Komplex verkligen är leveransmekanismen riskerar detta samma grupper av användare som de som arbetar inom flygindustrin. Med detta sagt kan Komplex också ha använts för att attackera andra industrier sedan det hittades förra året.

Var installeras XAgent?

Var på en Mac-dator är XAgent installerar för närvarande okänt. Det enda som tyder på att en Mac är infekterad är genom att titta på http-nätverkstrafik för följande domäner och IP-adresser:

23.227.196[.]215
apple-iclods[.]org
äpplekontroll[.]org
apple-uptoday[.]org
äppelsökning[.]info

I mina tester märkte jag en ytterligare IP-adress som försökte kontaktas:

72.5.65[.]94

Bör Mac-användare vara bekymrade?

När vi rapporterade om Komplex-skadlig programvara förra året nämnde vi:

Medan Komplex inte verkar göra något skadligt efter att ha installerat sig själv kan detta ändras omedelbart om Sofacy Group beslutar att skicka kommandon för C & C-servrarna att vidarebefordra.

Den senaste upptäckten av XAgent den här veckan visar att detta verkligen hände. Mac-användare inom flygindustrin såväl som journalister och myndigheter har anledning att vara oroliga. Inte bara på grund av Komplex eller XAgent, utan för att fälten och branscherna de arbetar i oftare attackeras. Vi noterade också:

En grupp som denna kommer sannolikt inte att försvinna när som helst, så mer skadlig programvara från dem kan förväntas.

XAgent är bara den senaste upptäckten som är kopplad till Sofacy Group, och den kommer sannolikt inte att vara den sista. Med det i åtanke är det viktigt att ha ditt försvar hela tiden.

Vilka steg kan Mac-användare ta för att skydda sig själv?

Trots att vi först rapporterade den 14 februari, lyckligtvis för Intego-kunder, fick vi provet den 8 februari och uppdaterade omedelbart våra definitioner av VirusBarrier mot skadlig kod för att skydda Mac-användare från detta hot, identifierat som OSX / Sofacy.gen.

Intego Malware-teamet arbetar alltid hårt och letar efter de senaste potentiella hoten och XAgent flaggades redan som ett av dem – innan de första rapporterna dök upp i media. Men eftersom XAgent kan fungera självständigt kunde det ha varit kvar och fortfarande aktivt på infekterade system. Detta visar hur viktigt det är att alltid hålla koll på den senaste utvecklingen.

Hur man vet om din Mac är infekterad

För att manuellt kontrollera om en Mac är infekterad är det enda du kan göra just nu att leta efter Komplex-komponenter.

Från Finder-menyn, välj “Gå”, välj “Gå till mapp” och kopiera / klistra sedan in var och en av följande sökvägar (ersätt $ USER med ditt eget hemmappnamn):

• /Users/$USER/Library/LaunchAgents/com.apple.updates.plist
• /Users/Shared/.local/kextd

Om filerna hittas är din Mac troligen infekterad. Flytta filerna till papperskorgen och starta om din Mac och töm sedan papperskorgen och kontrollera platserna igen. Din Mac borde nu vara fri från Komplex, men XAgent kan fortfarande vara närvarande. Den exakta platsen som XAgent installerar är för närvarande okänd, så det bästa är att rensa infektionen genom att köra en antiviruslösning, till exempel Intego VirusBarrier, som kommer att skanna hela systemet och bli av med din XAgent-maskin, om den är närvarande.

Innan du går, kryptera dina iPhone-säkerhetskopior

Med Mac-skadlig programvara som nu går efter (eller åtminstone letar efter) iOS-säkerhetskopior är det en mycket bra idé att använda kryptering för att skydda dessa säkerhetskopior. För att göra detta, anslut enheten till iTunes och öppna enhetens informationspanel. Därifrån, under avsnittet “Säkerhetskopior” i fönstret, ser du möjligheten att aktivera säkerhetskopieringskryptering.

Se till att du skyddar din säkerhetskopia med ett långt och starkt lösenord och överväga att spara den i en lösenordshanterare. Utan det lösenordet är det omöjligt att återställa säkerhetskopian vid ett senare tillfälle.

Om Mike Jones

Mike Jones är en IT-konsult med en passion för säkerhetsforskning på Mac. Han genomför oberoende skydd mot skadlig programvara och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Det här inlägget postades i Malware, rekommenderas, säkerhetsnyheter och taggades Komplex, OSX / Sofacy.gen, XAgent. Bokmärk permalänken.