5 may. 2017

Snake/Turla/Uroburos APT dirigida a OSX

Snake, también conocido como Turla, Uroburos y Agent.BTZ, es un framework de malware relativamente complejo usado para ataques dirigidos [PDF].

Durante el año pasado, la empresa Fox-IT ha estado involucrado en varios casos de respuesta a incidentes en los que se utilizó Snake para robar información confidencial. Loos objetivos incluyen instituciones gubernamentales, militares y grandes corporaciones.

Los investigadores que han analizado previamente las empresas comprometidas en los que se utilizó Snake, han atribuido los ataques a Rusia [PDF]. Comparado con otros ataques prolíficos con supuestos lazos con Rusia, como APT28 (Fancy Bear) y APT29 (Cozy Bear), el código de Snake es mucho más sofisticado, su infraestructura es más compleja y los objetivos son seleccionados con más cuidado.

Este framework se ha centrado tradicionalmente en el sistema operativo Windows, pero en 2014 ya se observó la primera variante para Linux. Ahora, Fox-IT ha identificado una versión de Snake dirigida a Mac OS X.

Como esta versión contiene funcionalidades de depuración y se firmó el 21 de febrero de 2017, es probable que la versión de OS X de Snake todavía no esté todavía pero sin duda pronto comenzarán a usar esta variante de Mac OS X en los objetivos.

Funcionalidad

Para las versiones de Windows, la arquitectura de Snake normalmente consiste en un driver en modo Kernel diseñado para ocultar la presencia de varios componentes y para proporcionar acceso de bajo nivel a la comunicación en red. Dependiendo de la arquitectura de una máquina de destino, el Kernel o el modo de usuario se utiliza para la comunicación en red.

La versión de OS X de Snake es una portación de la versión de Windows. Incluso las referencias a Internet Explorer están todavía presentes en el binario.

Backdoor Adobe Flash Player

El binario Snake viene dentro de un archivo ZIP llamado Adobe Flash Player.app.zip que es una versión del instalador de Flash Player de Adobe con un backdoor. El script install.sh está patcheado para lograr la infección inicial.

Aplicación firmada

Para que una aplicación se ejecute en OS X tiene que estar firmada con un certificado válido emitido por Apple o será bloqueada por GateKeeper (a menos que se configure de otra manera). Snake incluye un certificado de desarrollador, probablemente robado, que se utilizó para firmar el falso instalador de Adobe Flash.

Fuente: Fox-IT

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!