Ventir

Monah 03.06.201516.03.2017 Дайджест

Цели GREF достаточно разносторонние — от подрядчиков Пентагона до электронных и инженерных компаний, а также фонды и неправительственные организации, особенно те, которые имеют интересы в Азии.

Довольно часто группировка использует следующие IP для своих командных серверов: 210.211.31.x (China Virtual Telecom — Гонконг), 180.149.252.x (Asia Datacenter — Гонконг) и 120.50.47.x (Qala — Сингапур), что наводит на некоторые подозрения о причастности Китая.

Бэкдор для Mac с двумя кейлогерами на борту. Казалось бы, зачем два? В случае отсутствия прав root на диск из секции _keylog в области данных дроппе-ра сохранялся файл под именем EventMonitor, реализация которого использовала API-функции Carbon Event Manager.

Следует отметить, что этот способ не всегда работает корректно. Например, для последней на данный момент версии OS X 10.10 логируются только нажатия клавиш-модификаторов (Ctrl, Alt, Shift, etc.) и все, так как этот интерфейс считается устаревшим.

Gid-Diesel: дайджест статей №909 -> 09.12.13
Победители премии Blue Drop Awards по сайтам -> 20.12.10
Gid-Ruukki: дайджест статей №585 -> 26.05.14
Gid-To11: дайджест статей №801 -> 23.08.10
Награда Blue Drop за достижения в области веб-разработок -> 05.09.10
Lingid-Rails: дайджест статей №433 -> 21.06.13
Победитель в категории самый интересный сайт на Drupal -> 02.01.13
Lin-Zemlyanin: дайджест статей №694 -> 03.05.10
Lin-Racer: дайджест статей №906 -> 27.09.14
Gid-Moby: дайджест статей №949 -> 15.09.11

Этот второй кейлогер базируется на open source проекте LogKext, исходники которого доступны на GitHub. Драйвер загружался в ядро при помощи стандартной утилиты OS X kextload.

Как видно, keylogger работал независимо от бэкдора, он сохранял лог в файл Library/.local/.logfile, который злоумышленники могли загрузить на свой C&C-сервер по команде.

Как уже упоминалось, способ с использованием драйвера гораздо более универсальный и надежный, но требует прав root.

Победитель: Лучший бизнес-сайт, разработанный с Drupal -> 15.01.10
Lin-Wowankz: дайджест статей №965 -> 21.05.13
Gid-Luck: дайджест статей №946 -> 21.10.13
Gid-Jeenbekov: дайджест статей №977 -> 05.09.12
Gid-Aliya69: дайджест статей №917 -> 27.07.11

Вероятно, авторы предполагали, что работа с правами root будет основным режимом работы их трояна.

Не исключено, что дроппер внедрялся на компьютер при помощи родительского приложения, которое могло использовать эксплойты для повышения привилегий.

К сожалению, механизмы распространения Ventir пока остаются невыясненными.