Groep cyberhuurlingen maakt honderden Mac-slachtoffers
Er is een nieuwe groep cyberhuurlingen ontdekt die overheidsinstanties, defensiebedrijven, mediabedrijven en telecomaanbieders in voornamelijk Zuid-Korea en Japan infecteert. De aanvallers gebruiken kwetsbaarheden in Microsoft Office en Java om de systemen van slachtoffers te besmetten.
Slachtoffers krijgen een spear phishingmail met een kwaadaardig document of een link naar een kwaadaardige of gehackte website doorgestuurd. Zodra de ontvanger het document of website met een ongepatchte versie van Office of Java opent, wordt de malware geïnstalleerd. In alle gevallen gaat het om bekende kwetsbaarheden, wat inhoudt dat slachtoffers zich eenvoudig hadden kunnen beschermen door het installeren van beschikbare beveiligingsupdates.
Icefog
De groep, die onderzoekers van Kaspersky Lab de naam 'Icefog' hebben gegeven, zou al sinds 2011 actief zijn. Eenmaal actief op het systeem en netwerk van slachtoffers, worden gevoelige documenten en bedrijfsplannen, inloggegevens voor e-mailaccounts en wachtwoorden voor verschillende diensten gestolen.
In veel gevallen zouden de aanvallers precies weten wat ze bij het slachtoffer zoeken, en wordt er op specifieke bestandsnamen gezocht, die vervolgens naar de server van de aanvallers wordt doorgestuurd. De groep werd ontdekt tijdens het onderzoek naar een gerichte aanval op Fuji TV.
Slachtoffers
Hoewel de meeste aangevallen organisaties zich volgens Kaspersky in Zuid-Korea en Japan bevinden, werd het grootste aantal besmette computers in China aangetroffen. Daarnaast valt op dat het hier niet om Windowscomputers gaat, maar machines met Mac OS X. De virusbestrijder stelt dat het lastig is om het totaal aantal slachtoffers vast te stellen en er alleen een klein deel van de puzzel zichtbaar is.
Aan de hand daarvan werden tientallen slachtoffers met een Windowscomputer geteld, maar gaat het om 350 slachtoffers met een Mac. 95% van de Mac-slachtoffers bevindt zich in China. Onlangs kwam anti-virusbedrijf Symantec met een rapport over een andere groep cyberhuurlingen genaamd Hidden Lynx. Ook deze groep zou op verzoek van opdrachtgevers wereldwijd bij organisaties hebben ingebroken.
De enige reden waarom dit in het nieuws komt is omdat het Apple/OSX betreft. (goed voor de pageviews toch?)
Bij Windows is het "normaal" dat er tienduizenden(of meer) infecties per dag er bij komen, dus dat is al lang niet interessant meer.
Wanneer je gewoon een up to date Java/Office of een fatsoenlijk stel hersens hebt dan is er niets aan de hand.
Aanbeveling is wel om ook het downloadbare "icefog.pdf" 'schuin' door te nemen.
De Windows infecties van de icefog groep zijn in diverse aziatische landen succesvol, dat is nieuwswaardig (met name ook voor Pc gebruikers)!
Dat daar nu een stukje Mac info wordt uitgehaald vind ik verder prima, daar hoort nog wel een stukje info bij.
Wat betreft de Mac versie wordt verondersteld dat het nog om een Bèta Versie gaat die in eerste instantie waarschijnlijk als Test op Chinese Fora is Geplaatst.
Uit : Kaspersky, "The ‘Icefog’ Apt: a tale of Cloak and three Daggers, icefog.pdf, pagina 19,
quote : "Macfog - the Mac OS X version of Icefog
in late 2012, the icefog attackers experimented with a mac os x version of icefog. this particular version of the malware was seeded in a number of chinese bbs forums and masked as a graphic application. "
Kaspersky icefog.pdf, pagina 21,
quote "The Macfog backdoor is different from the Windows variant from the point of view of usage by the attackers. So far, we haven’t identified victims of targeted attacks being infected with it, although we do believe they exist. The seeding of this version through Chinese bulletin boards resulted in a few hundred infections worldwide. We believe this could have been a beta-testing phase for Mac OS X versions to be used in targeted attacks later. "
Het lijkt dus om een specifieke Mac testversie te gaan, uitgeprobeerd op Chinese fora (ja nogal wiedes dan) ; niet met gebruik van Java, geen Office exploit maar social engineering door de gebruiker zelf een (malware)applicatie te laten installeren door het laten uitpakken van een .rar-bestand waarin de malware verstopt zat.
Kennelijk redelijk succesvolle aanpak voor de Mac (350 of 430?) tegenover 'een getal' van 200 voor Windows. Windows aanpak betreft gebruik van Java en Office exploits, is die aanpak dan minder succesvol gebleken dan social engineering in het algemeen? Zijn foragebruikers naïever dan business users?
Dat je een Apple in de vergelijking stopt oke, en dan verder?
Op pagina 38 is er nog een flink voorbehoud aangaande het tellen van besmettingen : "It should be noted that in terms of the overall picture, these sinkholed domains offer a view of only a fraction of the infected computers, especially old infections which for some reason have not yet been disinfected. The newer attacks are more difficult to track because they use new C&C domains that can’t be easily sinkholed. "
Dat zijn nogal wat variabelen in een verder interessant en lopend onderzoek.
Wat de Mac betreft, het blijft voorlopig social engineering, zoals waar veel Mac malware nog op blijft hangen, al zijn er altijd weer mensen die er wèl intrappen.
Blijven oppassen dus voor zogenaamde verpakte apps of andere vermomde bestanden die een malware app blijken te zijn.
P.s., ik ben hard op zoek naar recente geografisch marketshare info voor de Mac; OS X versions, by Country, by Java version usage, en meer.
Helaas loop ik tegen betaalmuren op. Iemand een linkje paraat anders dan die van Statcounter, Net applications of bijvoorbeeld Statowl waar ik wel wat (gratis ;-) inzichtelijke informatie kan vinden?
Intego:
http://www.intego.com/mac-security-blog/new-cross-platform-backdoor-trojans-used-in-targeted-attack/
Inmiddels drie Fake-apps waarvoor op te passen :
- "AppDelete.app.zip"
- "Img2icns.app.zip"
- "CleanMyMac.app.zip" (betreft een fake variant op een al bestaande app)
The Safe Mac, Thomas Reed :
http://www.thesafemac.com/new-mac-malware-discovered-icefog/
Verder betreft het Malware geschikt voor OS X 10.7 en 10.8, maar niet als je Gatekeeper onder OS X 10.8 geactiveerd hebt omdat het geen developer ID heeft.
Het betreft een intel Binary en werkt daarmee alleen op IntelMac's en niet op oudere PPC Mac's, mocht er nog iemand een oude (PPC) Mac met een unsupported OS X gebruiken.
Extra opletten als je Lion 10.7 gebruikt.
Cleaning programma's voor de Mac zijn over het algemeen eigenlijk helemaal niet nodig; voldoende mogelijkheden op je mac zelf en 'historie' en meer wissen kan in alle browsers zelf.
Draai minimaal OS X 10.6.(11) op een IntelMac.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
