Похищения текущей недели: APT-группа Patchwork, еще один бэкдор для Mac

В декабре прошлого года была впервые зафиксирована активность новой APT-группы под названием Patchwork. Как сообщили исследователи компании Cymmetria, данная индийская группа могла быть организована еще в 2014 году, год назад ее жертвами стали 2, 5 тыс. пользователей.

03512e261d8d4a12a0deb3b10eebcb33.png

Злоумышленники из Patchwork подвергают атаке главным образом правительственные организации и связанные с ними компании по всему миру, в том числе в США, Европе, Южной Азии, Азиатско-Тихоокеанском регионе и на Среднем Востоке. По мнению экспертов хакеры этой новой группы, скорее всего, являются индусами по происхождению. Это не совсем обычно, так как APT-группировки принято связывать с Китаем и Россией, но не с Индией.
38fd52026ce74bb3b7c34da08d9ce35a.png

Несмотря на уж очень ограниченные технические возможности хакеров из Patchwork, их кампании впечатляют своей эффективностью. Название группировки от «patchwork» — техника шитья из лоскутов ткани, так как они используют при разработке своих инструментов и вредоносного ПО самые разнообразные коды, которые взяты из различных источников, таких как online-форумы, GitHub и черный рынок. Во время второго этапа кампании индийский хакеры применяли вредонос только после того, как убеждались в получении устойчивости на системе жертвы.

OSX/Keydnap


52d079b934394887ad19a86e2658ce26.png

Еще не успел утихнуть шум вокруг вредоносного ПО Backdoor.MAC.Eleanor, как ИБ-эксперты сообщили о новом бэкдоре. Согласно исследователям ESET, вредонос OSX/Keydnap похищает содержимое связки ключей (keychain) Mac OS X и предоставляет злоумышленникам постоянный доступ к скомпрометированной системе. Точно определить способ, с помощью которого происходит заражение, сложно, предполагается, что бэкдор распространяется через спам-письма, но также не исключено его попадание на систему через приложения, загруженные из недоверенных источников, как стало известно, один из компонентов загрузчика распространяется с помощью ZIP-файла. Исполняемый файл в формате Mach-O, маскирующийся под текстовый или JPEG-файл, содержится в ZIP-архиве. В конце расширения присутствует пробел и при двойном клике на файл он открывается в Terminal, а не в TextEdit или Preview, Finder идентифицирует иконку исполняемого файла как JPEG или TXT и пользователь, который ничего не подозревает, открывает его.

Бэкдор, упакованный с помощью модифицированной версии UPX, добивается персистентности на системе, устанавливая PLIST-файл в /Library/LaunchAgents/ при наличии прав суперпользователя или $USER/Library/LaunchAgents/ без прав суперпользователя. Исполняемый файл icloudsyncd сохраняется в директории Library/Application Support/com.apple.iCloud.sync.daemon.

Вариант трояна Kovter


18387c166c9149c186c9a5317f9fbb64.png

Новая разновидность трояна Kovter, которая маскируется под легитимные обновления для Firefox распространяется с помощью атак drive-by-download. При посещении зараженного сайта, пользователю предлагается установить поддельное обновление для браузера.

dd0fa1ebe332499f99762910a32582bc.png

После чего, вредонос устанавливает на инфицированную систему удаленно обновляемые трояны для доступа к компьютеру, кликает на рекламные ссылки, а также выполняет функции вымогательского ПО, в это время на системе им записывается встроенный зашифрованный скрипт в несколько разных участков реестра Windows и использует PowerShell.exe для вредоносных действий. Kovter обходится без файлов.

© Geektimes