MacControl
MacControl wordt door cyberbeveiligingsanalisten geclassificeerd als een late-stage Trojan-dreiging die specifiek is ontworpen om Mac-gebruikers te targeten. Als MacControl erin slaagt om zichzelf met succes in te bedden in de computer van de gebruiker, zou het de aanvallers een breed niveau van controle geven over het gecompromitteerde apparaat.
MacControl werd geleverd door middel van een gerichte aanvalscampagne die de verspreiding van bewapende woorddocumenten onder Mac-gebruikers zag. Om voet aan de grond te krijgen op het systeem, maakten de hackers gebruik van een oude kwetsbaarheid van Office voor Mac. De exploit doet zich voor wanneer Microsoft Office Word probeert een Word-document te verwerken dat is gemaakt om specifiek een verkeerd opgemaakt record op te nemen. Door de kwetsbaarheid kan de bedreigingsacteur bevoegdheden voor het uitvoeren van externe code verkrijgen. De cybercriminelen zouden programma's kunnen installeren, het bestandssysteem kunnen manipuleren, nieuwe accounts met volledige gebruikersrechten kunnen aanmaken, enz. Het lijkt erop dat gebruikers met accounts met beperkte rechten minder last hebben van de dreiging, vergeleken met gebruikers met volledige beheerdersrechten.
MacControl-aanvalsketen
De eerste stap van de aanval is het bezorgen van de e-mail met het Trojanized Word-document als bijlage. Telkens wanneer de gebruiker het beschadigde document opent met Office voor Mac, wordt de aanvankelijke beschadigde payload geactiveerd die zichzelf naar het geheugen kopieert. In de tweede fase van de aanval worden verschillende bestanden gekopieerd naar de / tmp / map op de schijf, en vervolgens wordt een beschadigd script uitgevoerd.
Tijdens de volgende fase wordt de eerste echte malwarebedreiging op het geïnfecteerde systeem gedropt. Het is een eerder gedetecteerde bedreiging met een Command-and-Control-server in New York. De aanval bevat nog een stap en het is hier dat de MacControl, voorheen onbekende malwarecreatie, op de computer wordt afgeleverd. Verschillende versies van MacControl zijn waargenomen door infosec-onderzoekers, elk ontworpen om aan een andere architectuur te werken.
MacControl Attack toont banden met China
Er is sterk bewijs gevonden dat erop wijst dat de criminelen die verantwoordelijk zijn voor MacControl gelokaliseerd zijn of banden hebben met China. De verleidelijke Word-documenten die werden gebruikt om de aanval te initiëren, praten over schrijnende regionale kwesties en zijn gestructureerd om te verschijnen als een brief gericht aan de Mensenrechtencommissie van de Verenigde Naties. Het onderwerp is de verjaardag van de Tibetaanse opstand tegen China. Een andere link werd ontdekt toen onderzoekers ontdekten dat de Command-and-Control-infrastructuur voor MacControl ook in China was gevestigd.
