Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Trojan mới trên Mac OS nhắm tới cơ quan hàng không vũ trụ
Các chuyên gia vừa phát hiện trojan mới Komplex trên Mac OS X, mà họ cho rằng có liên quan tới các hoạt động của nhóm tình báo mạng có tên Sofacy hoạt động ngoài nước Nga.
Đến thời điểm hiện tại, các chuyên gia mới chỉ phát hiện được bộ cài mã độc và chưa xác định được các nạn nhân bị lây nhiễm. Tuy nhiên, dựa trên các tài liệu được tin tặc sử dụng làm “mồi nhử” thì các mẫu trojan có vẻ như đã được tùy chỉnh để nhắm tới các mục tiêu cá nhân trong ngành công nghiệp hàng không vũ trụ.
Hãng an ninh mạng Palo Alto Networks phát hiện mã độc cho biết hiện có 3 phiên bản của trojan: nhắm mục tiêu vào x64, x86 và một biến thể có thể nhắm tới cả hai hạ tầng.
Komplex khai thác lỗ hổng trên MacKeeper để xâm nhập
Các chuyên gia cho rằng việc lây nhiễm diễn ra khi thành phần đầu tiên của trojan lợi dụng một lỗ hổng trong ứng dụng anti-virus MacKeeper để chiếm một vị trí trên thiết bị Mac.
Từ mẫu đã phân tích, các chuyên gia cho rằng thành phần mã độc trong giai đoạn đầu giả mạo một tài liệu PDF trình bày chi tiết về chương trình vũ trụ của Nga. Thành phần này chiếm quyền boot bằng cách thêm tập tin .plist vào tiến trình khởi động của máy tính, sau đó tải về thành phần tiếp theo của mã độc Komplex. Thành phần này thu thập dữ liệu về hệ thống, và khi có kết nối Internet sẽ kết nối tới máy chủ C&C, gửi thông tin chi tiết về các máy chủ lây nhiễm.
Tính năng của Komplex
Các máy chủ C&C sẽ quyết định mô-đun nào sẽ được gửi tiếp. Các nhà nghiên cứu cho biết đã xác định được các mô-đun cho phép nhóm hacker Sofacy tải về các tập tin trên máy chủ bị lây nhiễm, thu thập và đánh cắp dữ liệu, hoặc thực thi các lệnh.
Các chuyên gia cho biết, Komplex cũng chính là trojan được phát hiện tháng 6/2015 bởi BAE Systems. Ngoài ra, dựa trên chế độ hoạt động của trojan và cấu trúc mã nguồn thì có vẻ như Komplex là “cổng vào” Mac của trojan Carberp Windows hoạt đông hồi cuối tháng 5, nhắm tới một quan chức chính phủ Mỹ.
Nhóm Sofacy, còn được gọi là Fancy Bear, APT28, Sednit, Pawn Storm hoặc Strontium là một trong những nhóm tình báo mạng hoạt động tích cực nhất được biết đến hiện nay. APT28 được cho là một trong những nhóm đã xâm nhập Ủy ban Dân chủ Toàn quốc Hoa Kỳ (DNC) vào mùa hè năm 2015, và đứng sau sự rò rỉ dữ liệu WADA thời gian gần đây.
Đến thời điểm hiện tại, các chuyên gia mới chỉ phát hiện được bộ cài mã độc và chưa xác định được các nạn nhân bị lây nhiễm. Tuy nhiên, dựa trên các tài liệu được tin tặc sử dụng làm “mồi nhử” thì các mẫu trojan có vẻ như đã được tùy chỉnh để nhắm tới các mục tiêu cá nhân trong ngành công nghiệp hàng không vũ trụ.
Hãng an ninh mạng Palo Alto Networks phát hiện mã độc cho biết hiện có 3 phiên bản của trojan: nhắm mục tiêu vào x64, x86 và một biến thể có thể nhắm tới cả hai hạ tầng.
Komplex khai thác lỗ hổng trên MacKeeper để xâm nhập
Các chuyên gia cho rằng việc lây nhiễm diễn ra khi thành phần đầu tiên của trojan lợi dụng một lỗ hổng trong ứng dụng anti-virus MacKeeper để chiếm một vị trí trên thiết bị Mac.
Từ mẫu đã phân tích, các chuyên gia cho rằng thành phần mã độc trong giai đoạn đầu giả mạo một tài liệu PDF trình bày chi tiết về chương trình vũ trụ của Nga. Thành phần này chiếm quyền boot bằng cách thêm tập tin .plist vào tiến trình khởi động của máy tính, sau đó tải về thành phần tiếp theo của mã độc Komplex. Thành phần này thu thập dữ liệu về hệ thống, và khi có kết nối Internet sẽ kết nối tới máy chủ C&C, gửi thông tin chi tiết về các máy chủ lây nhiễm.
Tính năng của Komplex
Các máy chủ C&C sẽ quyết định mô-đun nào sẽ được gửi tiếp. Các nhà nghiên cứu cho biết đã xác định được các mô-đun cho phép nhóm hacker Sofacy tải về các tập tin trên máy chủ bị lây nhiễm, thu thập và đánh cắp dữ liệu, hoặc thực thi các lệnh.
Các chuyên gia cho biết, Komplex cũng chính là trojan được phát hiện tháng 6/2015 bởi BAE Systems. Ngoài ra, dựa trên chế độ hoạt động của trojan và cấu trúc mã nguồn thì có vẻ như Komplex là “cổng vào” Mac của trojan Carberp Windows hoạt đông hồi cuối tháng 5, nhắm tới một quan chức chính phủ Mỹ.
Nhóm Sofacy, còn được gọi là Fancy Bear, APT28, Sednit, Pawn Storm hoặc Strontium là một trong những nhóm tình báo mạng hoạt động tích cực nhất được biết đến hiện nay. APT28 được cho là một trong những nhóm đã xâm nhập Ủy ban Dân chủ Toàn quốc Hoa Kỳ (DNC) vào mùa hè năm 2015, và đứng sau sự rò rỉ dữ liệu WADA thời gian gần đây.
Nguồn: Softpedia