Los investigadores de Palo Alto detectado una nueva campaña llamada Fancy Bear APT utilizando un nuevo Mac OS X de Troya contra las empresas de la industria aeroespacial.
Los expertos en seguridad de la firma de inteligencia de amenazas ThreatConnect han llevado a cabo un análisis de las direcciones IP que figuran en la alerta de flash publicado en agosto por el FBI advirtió que cerca de dos ataques cibernéticos contra los sistemas de elección en dos estados de Estados Unidos.Los expertos de ThreatConnect descubrieron algunas conexiones con hackers supuestamente vinculado con el Gobierno de Moscú. Uno de los dominios que alojan el contenido de phishing fue registrado con una dirección de correo electrónico asociada a un dominio conocido por ser utilizado por APT28 group (también conocido como Fancy oso, Tormenta Hipoteca, Sednit, Sofacy).
Ahora Fancy Bear está de nuevo en los titulares, de acuerdo con los investigadores de malware en Palo Alto, el grupo esta detrás de un troyano de orientación máquinas Mac OS X.
De acuerdo con el investigador Palo Alto Ryan Olson, Fancy Bear ha utilizado el troyano Komplex para dirigir organizaciones en el sector aeroespacial que estaban usando el software antivirus MacKeeper.
"El Sofacy grupo, también conocido como APT28, Tormenta Hipoteca, Fantasía Bear, y Sednit, continúa añadiendo a la variedad de herramientas que utilizan en los ataques en este caso, la orientación de los individuos en la industria aeroespacial ejecuta el sistema operativo OS X. Durante nuestro análisis, se determinó que Komplex se utilizó en una campaña anterior ataque dirigido individuos con OS X, que explota una vulnerabilidad en la aplicación antivirus MacKeeper para entregar Komplex como una carga útil." Segun el análisis publicado por PaloAlto.
"Komplex comparte una cantidad significativa de funcionalidad y rasgos con otra herramienta utilizada por Sofacy la variante Carberp que Sofacy había utilizado en campañas de ataque anteriores en sistemas Windows. Además de código compartido y funcionalidad, también descubrimos mando y control Komplex (C2) dominios que se superponen con las infraestructuras de campaña de phishing identificadas previamente asociados con la Sofacy grupo".
Los expertos observaron que el malware Komplex en una campaña anterior ataque dirigido individuos con OS X, que explota una vulnerabilidad en la aplicación antivirus MacKeeper.
"El Sofacy grupo creó el troyano Komplex para utilizar en campañas de ataque dirigidos al sistema operativo OS X un movimiento que muestra su evolución continua hacia ataques multi-plataforma," segun Olsen. "La herramienta es capaz de descargar archivos adicionales al sistema, ejecutar y borrar archivos, así como la interacción directa con el shell del sistema. Si bien la información de orientación detallada no está disponible actualmente, creemos Komplex se ha utilizado en los ataques a las personas relacionadas con la industria aeroespacial, así como los ataques aprovechando un exploit en MacKeeper para entregar el troyano "
El malware Komplex tiene numerosas similitudes con el troyano Carberp, que fue mejorado para tener acceso a los sistemas de PC y OS X y utilizar el mismo servidor de comando y control.
Los investigadores notaron que el Komplex appleupdate dominio C2 .Org no se utilizó en el pasado por el grupo, mientras que tanto los iclouds [.] Red y itunes-helper [.] Dominios netos tienen lazos directos a la actividad de la suposición del oso.
Una mirada cercana a la carga maliciosa utilizada por el ATP reveló que se inicia el proceso de infección mediante la realización de una comprobación anti-depuración para ver si se está debuggedby software de detección. Esta función fue prestado por la fantasía del oso por un oficial de Apple guía creada en 2004 titulado "Detección del depurador".
"Esta no es la primera vez que los autores de malware del grupo Sofacy han obtenido las técnicas de fuentes públicamente disponibles, como se demuestra en el uso de la prueba de persistencia Método Oficina que obtuvieron a partir de un blog publicada en 2014 .", Continúa el análisis.
El código malicioso se entrega dentro de un señuelo PDF en proyectos espaciales rusos que ejecuta el software malicioso.
Fecha actualización el 2021-9-27. Fecha publicación el 2016-9-27. Categoría: Hackers. Autor: Oscar olg Mapa del sitio