La noticia de hoy trata sobre el APT28. Investigadores de BitDefender publicaron una investigación dónde se hablaba y detallaba del APT28. En el informe publicado se puede ver la forma de actuar, los targets y las atribuciones sobre este asunto. La utilización de XAgent ahora puede dirigirse a las víctimas que ejecutan Mac OS X con el objetivo de robar contraseñas, hacer capturas de pantalla y robar copias de seguridad del iPhone almacenadas en el Mac.
Es en el año pasado en el que se tiene constancia de la utilización de este tipo de software en una de las mayores campañas de ciberespionaje jamás realizadas, supuestamente vinculadas al territorio ruso. La muestra de XAgent está vinculada a Mac. Esta puerta trasera modular tiene avanzadas capacidades de ciberespionaje y es probable que esté instalada en el sistema a través de Komplex. Una vez instalado correctamente, la puerta trasera verifica si hay un depurador conectado al proceso. Si detecta uno, se termina la ejecución del mismo. De lo contrario, espera una conexión a Internet antes de iniciar la comunicación con los servidores C&C. Una vez establecida la comunicación, el payload inicia los módulos. La mayoría de las direcciones URL del C&C se han pasar por dominios de Apple.
Figura 1: Infecciones en APT28 |
Una vez conectado al C&C, el payload envía un HelloMessage, y luego genera dos hilos de comunicación que son ejecutados en bucles infinitos. El primero utiliza las solicitudes POST para enviar información a los C&C, mientras que el segundo supervisa las solicitudes GET de comandos. El análisis de la gente de BitDefender indica que los módulos pueden sondear el sistema para listar configuraciones de hardware y software, obtener un listado de procesos en ejecución, ejecutar archivos adicionales, así como obtener captruas de pantalla o extrar contraseñas del navegador. Quizá el módulo más importante es el que permite al operador exfiltrar las copias de seguridad del iPhone.
La gente de BitDefender indica que existe una serie de similitudes entre el componente Sofacy / APT 28 / XAgent para Windows / Linux y el binario de estudio para Mac. La evidencia forense recuperada del binario también revela cadenas idénticas en los clientes Komplex y XAgent. La investigación sigue en curso, pero todo apunta a que ha sido utilizado dentro de la misma campaña de ciberespionaje.
No hay comentarios:
Publicar un comentario