Nyopdaget Mac OS-malware koblet til APT28-hackerkampagne

Xagent Mac-malware knytter sig til APT28-hackergruppen, som Rusland menes at støtte, oplyser Bitdefender.

Den rumænske sikkerhedsvirksomhed Bitdefender har gravet rundt i et nyopdaget stykke malware møntet på Mac OSX. Det drejer sig om Xagent, som Bitdefender beskriver som en modular bagdør med avancerede cyberspionage-funktionalitet.

Den rumænske virksomhed beskriver kortlægningen af Xagent i nærmere detaljer i et indlæg her.

Xagent mener Bitdefender kan linkes til aktiviteter fra Sofacy/APT28/Sednit APT.

Altsammen navne for hacker-aktiviteter, som flere har peget på kan være støttet af Rusland. Blandt andet FireEye i et skriv fra 2014.

I en mail til Version2 fortæller såkaldt senior E-threat Analyst hos Bitdefender Adrian Liviu Arsene, at Xagent-modulet ser ud til at blive hentet ned på Mac-computere via et andet stykke software kaldet Komplex-downloader.

»Komplex-downloader ser ud til at være i stand til at identificere målets operativsystem og hente en passende payload - i dette tilfælde Xagent-modulet. I stedet for at downloade en enkelt, platforms-agnostisk payload, der bliver udpakket lokalt, så er alle moduler, der betjenes af Komplex-downloaderen, designet til et specifikt operativsystem.«

Når Xagent i Mac OS-udgaven er blevet hentet ned, så undersøger malwaren, om der er knyttet en debugger til processen.

Hvis det er tilfældet, så terminerer Xagent - antageligt for at undgå nysgerrige blikke i forhold til malwarens funktionalitet.

Hvis ikke Xagent registrerer en debugger, venter malwaren på en aktiv internetforbindelse. Herefter kobler Xagent op til Command&Control-servere (C&C) - den gængse betegnelse for den bagvedliggende infrastruktur, som cyberangribere bruger til at kontrollere deres malware med.

C&C-urlerne efterligner i dette tilfælde ifølge Bitdefender Apple-domæner. Når Xagent har fået kontakt til C&C-serverne, så bliver to tråde skabt, som kører i en uendelig løkke. Den ene tråd sender information via POST-requests til C&C, mens den anden tråd modtager kommandoer fra C&C via GET-reguests.

Kodeord, screenshots og iPhone-backup

I forhold til, hvad Mac OSX-varianten af Xagent faktisk er i stand til, så oplyser Bitdefender, at malwaren blandt andet indeholder funktionalitet, der stjæler data i form af kodeord, screenshots og backups af iPhones, der måtte ligge på det inficerede Mac-system.

Bitdefender mener blandt andet at kunne koble den seneste Mac OSX-malware til APT28 fordi tidligere malware til Windows og Linux indeholder lignende moduler. Og så har Komplex-downloaderen også været anvendt til andre operativsystemer af APT28, oplyser Adrian Liviu Arsene.

»Det er en antagelse, som bygger på det faktum, at Xagent-komponenten bliver downloaded (eng. dropped) af den samme Komplex-downloader, som APT28 har brugt til at inficere Windows, Linux og iOS-operativsystemer. Eftersom Mac OS var det eneste operativsystem, hvortil et modul endnu ikke var blevet blotlagt ved tidligere efterforskning, så gav det mening, at den cyberkriminelle gruppe allerede havde et modul klargjort, som ikke var var blevet opdaget før nu,« fortæller Adrian Liviu Arsene.

Han ønsker ikke at oplyse, hvorfra Bitdefender har den nuværende binære malware-fil til Mac OSX fra, der ligger bag analysen. Hvad APT28 angår, så fortæller Adrian Liviu Arsene:

»APT28 er en cyberkriminel gruppe, der enten udgøres af russiske borgere eller borgere i nabolande, som taler russisk. I løbet af vores tidligere undersøgelser har vi identificeret specifikke markører, der underbygger denne antagelse, så som binære filer, der var kompileret med et UTC+4-tidszone-stempel, og russiske strenge hardcoded ind i fil-stier til debugging,« oplyser Adrian Liviu Arsene per mail.

Bitdefender har tidligere lavet en længere analyse af APT28-aktiviteter, der kan læses her

Han fortæller endvidere, at Xagent-malwaren til Mac OSX menes at være en del af en cyberspionage-kampagne, som har til formål at høste efterretninger fra politiske figurer, regeringsinstitutioner, teleindustrien, e-crime-tjenester og luftfartsindustrien.

»Mens det senest analyserede modul er målrettet Mac OS, så er Komplex-downloaderen i stand til at downloade moduler målrettet andre operativsystemer, såsom Windows, Linux og iOS. Det er dog sikkert at antage, at grunden til denne diversitet skyldes, at målgrupperne kører alle disse operativsystemer,« fortæller Adrian Liviu Arsene.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere