Недавние отчеты исследователей из BitDefender и Elastic показали, что активный противник развертывает новые шпионские программы, кросс-платформенные бэкдоры и инструмент разведки с открытым исходным кодом для компрометации организаций, имеющих в своем парке устройства на базе macOS. Хотя число известных жертв на данный момент невелико, характер инструментария позволяет предположить, что объектами угрозы, скорее всего, были и другие организации.
Информации о том, как был достигнут первоначальный компромисс в известных случаях, мало, но анализ известных компонентов дает сильную связь с троянским генератором QR-кодов, обнаруженным в феврале 2023 года.
В известных на сегодняшний день вторжениях исследователи обнаружили два бэкдора Python. Бэкдоры способны наблюдать за хост-устройством и выполнять команды, извлекать данные и удалять файлы. В зависимости от значения, полученного из конфигурационного файла, бэкдор будет подавать сигналы на C2 через регулярные промежутки времени, по умолчанию 5 секунд. Информация, отправляемая атакующему, включает в себя:
- текущий рабочий каталог
- Имя пользователя
- Имя хоста
- Доменное имя
- Версия ОС
- Версия Python
- Путь к sh.py
Indicators of Compromise
IPv4
- 45.76.238.53
- 45.77.123.18
Domains
- app.influmarket.org
- git-hub.me
SHA1
- 1ed2c5ee95ab77f8e1c1f5e2bd246589526c6362
- 1f99081affd7bef83d44e0072eb860d515893698
- 21ffda8a6a05a007ef92088f99ab54485cfe473d
- 2234c9fc3c3d340f0367c49c6599379b96544b5a
- 370a0bb4177eeebb2a75651a8addb0477b7d610b
- 76b790eb3bed4a625250b961a5dda86ca5cd3a11
- 937a9811b3e5482eb8f96832454723d59229f945
- bd8626420ecfd1ab5f4576d83be35edecd8fa70e
- c304aef96a783a39aedf1af30de5d5f1c33c68ca
- c7d6ede0f6ac9f060ae53bb1db40a4fbe96f9ceb
