Gezielte Angriffe auf macOS

Das Malware-Analyseteam von Palo Alto Networks, Unit 42, hat einen neuen macOS-Trojaner identifiziert, den es der Sofacy-Gruppe zugeordnet hat. Die Sofacy-Gruppe, auch bekannt als APT28, verwende bei ihren Angriffen immer wieder neue Werkzeuge. Die Ziele des jüngsten Angriffs sollen Akteure aus der Luft- und Raumfahrtindustrie sein, die das Apple-Betriebssystem nutzen.

Während der Analyse hat Unit 42 von Palo Alto Networks [1] nach eigenen Angaben festgestellt, dass der Schädling "Komplex" in einer früheren Angriffskampagne bereits verwendet wurde. Dabei sei eine Schwachstelle in der Antivirus-Anwendung MacKeeper zum Einsatz gekommen, um Komplex als Nutzlast auszuliefern. Komplex teile sich eine erhebliche Menge an Funktionalität und Eigenschaften mit einem anderen Tool, das von Sofacy verwendet werde: die Carberp-Variante, die Sofacy in früheren Angriffskampagnen auf Windows-Systemen genutzt habe. Neben gemeinsamem Code und Funktionalität will Unit 42 auch Command-and-Control (C2)-Domains von Komplex entdeckt haben, die identisch waren mit den zuvor identifizierten Infrastrukturen für eine Phishing-Kampagne von Sofacy.



Komplex ist ein Trojaner, den die Sofacy-Gruppe erstellt hat, um Nutzer von macOS-Geräten zu kompromittieren. Der Trojaner bestehe aus mehrere Komponenten, deren Ziel es sei, die Nutzlast zu installieren und auszuführen. Darunter finde sich eine Binder-Komponente, die für das Speichern einer zweiten Nutzlast und eines Köderdokuments im System verantwortlich sein soll. Die Binder-Komponente speichere das Köderdokument "roskosmos_2015-2025.pdf" auf dem System und öffne es mittels der Vorschau-Anwendung, die in macOS integriert ist. Der Inhalt des Köderdokuments deuteten darauf hin, dass die Komplex-Angriffskampagne auf Ziele ausgerichtet ist, die mit der Luftfahrtindustrie in Zusammenhang stünden.



Sandbox-Erkennung eingebaut

Nach der Bestimmung, dass der Trojaner nicht in einem Debugger ausgeführt wird, führe die Nutzlast eine Anti-Analyse-/Sandbox-Prüfung mittels einer GET-Anfrage an Google durch und prüfe dabei auch, ob eine Internetverbindung besteht, um mit seinem C2-Server kommunizieren zu können. Nach der Bestätigung beginne die Komplex-Nutzlast damit, ihre Hauptfunktionen auszuführen, insbesondere Daten auf dem infizierten System zu sammeln. Die Komplex-Nutzlast sende dabei auch Systemdaten, wie Systemversion, Benutzername und Prozessliste an den C2-Server.



Die Sofacy-Gruppe nimmt laut Unit 42 mit dem Komplex-Trojaner gezielt macOS ins Visier. Dies sei ein Schritt, der die weitere Entwicklung der Gruppe hin zu Multi-Plattform-Angriffen demonstriere. Der Trojaner sei in der Lage, zusätzliche Dateien auf das System zu laden, Dateien auszuführen und zu löschen sowie direkt mit der System-Shell zu interagieren. Detaillierte Informationen zu den Zielen der Kampagne seien derzeit noch nicht verfügbar, doch deute alles darauf hin, dass Personen in der Luftfahrtindustrie ins Visier genommen würden. Die Nutzung eines ähnlichen Designs wie beim Carberp-Trojaner könnte den Hintergrund haben, kompromittierte Windows- und OS-X-Systeme relativ leicht mit der gleichen C2-Server-Anwendung zu verwalten.