Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Mac-computers doelwit van beruchte groep cyberspionnen

dinsdag 27 september 2016, 10:16 door Redactie, 6 reacties

Onderzoekers hebben een Trojaans paard van een beruchte groep cyberspionnen ontdekt dat ontwikkeld is om Mac-computers te infecteren. De malware wordt Komplex genoemd en is volgens het Amerikaanse beveiligingsbedrijf Palo Alto Networks gemaakt door de Pawn Storm-groep.

Deze groep cyberspionnen staat ook bekend als 'Fancy Bear', 'Sofacy', 'Sednit', 'APT28', Threat Group-4127 en 'Strontium'. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma, de presidentscampagne van Hillary Clinton en het Wereld Anti-Doping Agentschap (WADA) door de groep aangevallen.

Tijdens het onderzoek naar de malware ontdekten de onderzoekers dat Komplex al eens eerder bij een aanval op Mac-gebruikers was ingezet. Toen werd er een beveiligingslek in MacKeeper gebruikt om het Trojaanse paard te verspreiden. Vorig jaar mei werd er een kwetsbaarheid in MacKeeper ontdekt waardoor een aanvaller willekeurige code met rootrechten kon uitvoeren, zonder al teveel interactie van de gebruiker.

Bij de nu waargenomen aanvallen zijn waarschijnlijk personen of organisaties in de luchtvaartindustrie het doelwit. Slachtoffers ontvangen een e-mailbijlage die uit de malware, een script en een pdf-bestand bestaat. Gebruikers die de bijlage vanuit hun e-mailprogramma openen denken dat ze alleen een pdf-document openen, terwijl er in werkelijkheid malware wordt geïnstalleerd. Om gebruikers niets te laten vermoeden krijgen ze het pdf-bestand in de kwaadaardige bijlage te zien.

Via de Trojan hebben aanvallers volledige controle over het systeem. Zo kunnen de aanvallers bestanden uitvoeren en verwijderen, aanvullende bestanden downloaden en direct de systeemshell beïnvloeden. "Hoewel gedetailleerde informatie over de aanvalscampagne op dit moment niet beschikbaar is, denken we dat Komplex tegen personen in de luchtvaartindustrie is gebruikt, alsmede bij aanvallen waarbij er een beveiligingslek in MacKeeper werd gebruikt", aldus de onderzoekers. Tijdens de analyse naar de malware kwamen ze allerlei overeenkomsten tegen met andere malware van de Pawn Storm-groep, waardoor de link met deze groep cyberspionnen werd gelegd.

Mozilla wil nieuwe ssl-certificaten WoSign/StartCom blokkeren
UWV lekt data 11.000 werkzoekenden door blunder met bijlage
Reacties (6)
27-09-2016, 11:23 door BadAss.Sx
Gebruikers die de bijlage vanuit hun e-mailprogramma openen denken dat ze alleen een pdf-document openen, terwijl er in werkelijkheid malware wordt geïnstalleerd.

PLOINK! Valt niks meer over te zeggen
27-09-2016, 12:02 door Briolet
Om door deze trojan besmet te worden moet je eerst zelf die andere trojan op je mac installeren. MacKeeper is niet via Apple's AppStore te verkrijgen.
27-09-2016, 16:54 door Anoniem
;)

Ik heb het al zo vaak opgemerkt hier.
De gedane moeite voor een OS X malware exemplaar verraadt vaak al uit welke hoek het komt, hoe geavanceerder hoe groter de kans dat het staatsmalware (of bedrijven die dat leveren) betreft.

Kijk maar
We found three different versions of the Komplex binder, one that was created to run on x86, another on x64, and a third that contained binders for both x86 and x64 architectures.
Malware voor Mac OS X op x86 architectuur???

Malware om Hackintoshes te targeten??
https://en.wikipedia.org/wiki/OSx86
WOW!
Dan ben je heel gemotiveerd.
Of het wat oplevert is wat anders.
Vermoed namelijk niet dat er veel (kuch) hackintoshes staan op airports e.d.

Het stuk is me wat te technisch maar ik heb de indruk dat met het direct gebruik van shellcode de geconstateerde wijzigingen op allerlei root bestanden alleen werkt onder een admin account.
Wanneer de gebruiker werkt onder een standaard account heb je simpelweg de rechten niet om dergelijke wijzigingen te laten wegschrijven.

Dan gebruik je dus de overbekende meelift methode die als het voorkomt wordt toegepast bij misbruik van Mac OS X.
Je stopt de kwaadaardige code in een programmaatje dat om adminrechten vraagt bij installatie.
Nou is Mac-keeper inderdaad zo'n soort programma, heel bekend zelfs.
Echter is het wellicht niet zo handig gekozen want het programma is berucht en ik mag hopen dat elke systeem beheerder die bij zijn verstand is geen gebruik maakt van dit soort rotzooi bij zijn of haar beheerderstaken.

Mocht er op de Airport (of andere belangrijke instellingen) op belangrijke afdelingen worden gewerkt met Mac's, dan mag je toch hopen dat die personen aldaar niet onder een admin account werken en ook beperkte rechten hebben.
Ergo, dat ze helemaal geen rechten hebben om op admin niveau taken uit te rechten en dus ook app's te installeren.

Daarnaast mag je hopen dat op dergelijke plekken men gebruikmaakt van extra firewallls en apps niet zomaar naar buiten kunnen bellen.
Daar horen we Palo niet over (lees ik erover heen?).

Dan houden we over het misbruik van pdf, of gaat het over een mach-o file met een embedded pdf? Dus in aanvang de bekende missende (niet zichtbare) extensie truc?
Ook hier vraag ik me wederom af of dit werkt onder admin of ook onder een standaard account.

Helaas wordt er bijzonder vaak geen aandacht besteedt aan het onderscheid van dergelijke accounts en de werking van malware (of lees ik erover heen?).


O,ja, en zelfs voor het misbruiken van applescript files zal nog een extra hobbel van toestemming moeten worden gegeven.
27-09-2016, 18:20 door karma4
Anoniem 16:54 Apple heeft de Motorola 68000 achter zich gelaten net zoals de Power van ibm ze gebruiken standaard Intel architectuur x86 x64. IBM heeft en broertje dood aan ms met doorbreken van hun monopolie. Ze gaan voor Apple, dat betekent lucratieve targets whale phishing al meest eenvoudige. In het artikel lees ik nergens dat de mackeeper nog vereist is, malware evolueert.
Ken je het verhaal van de Morrison worm? Best aardig om te zien om welke systemen het ging.
27-09-2016, 18:28 door [Account Verwijderd] - Bijgewerkt: 27-09-2016, 18:30
[Verwijderd]
27-09-2016, 22:54 door [Account Verwijderd]
Door redactie:...knip...Toen werd er een beveiligingslek in MacKeeper gebruikt om het Trojaanse paard te verspreiden...

Als je anno 2016 Mackeeper gebruikt heb je als Mac gebruiker toch echt een knoeperd van een bord voor je kop!
Zo'n beetje sinds 2011 is algemeen bekend wat voor een ongelofelijk dubieuze - zeg maar gerust - waardeloze meuk dit softwaresamenraapsel is.
Natuurlijk zullen er wel wel weer de nodige (nieuwe) gebruikers van dit krapuul zijn die met allerlei inmiddels sinds 5 jaar dezelfde totaal zinloze motivaties/ reacties willen gaan schermen; een Macintosh gebruiker die zijn OSX lief heeft blijft mijlenver van dit prul op software gebied verwijderd, in de wetenschap voor te zijn dat op een ongunstig moment een hopelijk niet reeds door mackeeper vervuilde TM-kopie noodzakelijkerwijze terug moet worden gezet.

(zo dat moest ik even kwijt.pfff)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Banken moeten slachtoffers van phishing altijd compenseren:

0 reacties
Aantal stemmen: 51
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

47 reacties
Lees meer
Juridische vraag: Is een hostingbedrijf verplicht gehoor te geven aan AVG gerelateerde klachten omtrent websites?
04-12-2019 door Arnoud Engelfriet

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of ...

9 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter