Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac

в 16:08, , рубрики: Kovter, Patchwork, Блог компании ua-hosting.company, вредонос, информационная безопасность, троян, метки:

В декабре прошлого года была впервые зафиксирована активность новой APT-группы под названием Patchwork. Как сообщили исследователи компании Cymmetria, данная индийская группа могла быть организована еще в 2014 году, год назад ее жертвами стали 2, 5 тыс. пользователей.

Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac - 1

Злоумышленники из Patchwork подвергают атаке главным образом правительственные организации и связанные с ними компании по всему миру, в том числе в США, Европе, Южной Азии, Азиатско-Тихоокеанском регионе и на Среднем Востоке. По мнению экспертов хакеры этой новой группы, скорее всего, являются индусами по происхождению. Это не совсем обычно, так как APT-группировки принято связывать с Китаем и Россией, но не с Индией.

Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac - 2

Несмотря на уж очень ограниченные технические возможности хакеров из Patchwork, их кампании впечатляют своей эффективностью. Название группировки от «patchwork» – техника шитья из лоскутов ткани, так как они используют при разработке своих инструментов и вредоносного ПО самые разнообразные коды, которые взяты из различных источников, таких как online-форумы, GitHub и черный рынок. Во время второго этапа кампании индийский хакеры применяли вредонос только после того, как убеждались в получении устойчивости на системе жертвы.

OSX/Keydnap

Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac - 3

Еще не успел утихнуть шум вокруг вредоносного ПО Backdoor.MAC.Eleanor, как ИБ-эксперты сообщили о новом бэкдоре. Согласно исследователям ESET, вредонос OSX/Keydnap похищает содержимое связки ключей (keychain) Mac OS X и предоставляет злоумышленникам постоянный доступ к скомпрометированной системе. Точно определить способ, с помощью которого происходит заражение, сложно, предполагается, что бэкдор распространяется через спам-письма, но также не исключено его попадание на систему через приложения, загруженные из недоверенных источников, как стало известно, один из компонентов загрузчика распространяется с помощью ZIP-файла. Исполняемый файл в формате Mach-O, маскирующийся под текстовый или JPEG-файл, содержится в ZIP-архиве. В конце расширения присутствует пробел и при двойном клике на файл он открывается в Terminal, а не в TextEdit или Preview, Finder идентифицирует иконку исполняемого файла как JPEG или TXT и пользователь, который ничего не подозревает, открывает его.

Бэкдор, упакованный с помощью модифицированной версии UPX, добивается персистентности на системе, устанавливая PLIST-файл в /Library/LaunchAgents/ при наличии прав суперпользователя или $USER/Library/LaunchAgents/ без прав суперпользователя. Исполняемый файл icloudsyncd сохраняется в директории Library/Application Support/com.apple.iCloud.sync.daemon.

Вариант трояна Kovter

Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac - 4

Новая разновидность трояна Kovter, которая маскируется под легитимные обновления для Firefox распространяется с помощью атак drive-by-download. При посещении зараженного сайта, пользователю предлагается установить поддельное обновление для браузера.

Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac - 5

После чего, вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО, в это время на системе им записывается встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий. Kovter обходится без файлов.

Автор: ua-hosting.company

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js