安全研究人员已经发现了一种恶意软件的MacOS程序,是由归咎于黑客进入美国民主党全国委员会去年俄罗斯网络间谍组使用的武器库中可能的一部分。
该集团,这在安全行业称为不同的名称,包括花式熊,典当风暴和APT28,已经经营了近十年。它被认为是唯一的用户,并呼吁Sofacy或X-代理木马程序的可能开发商。
过去,Windows、Linux、Android和iOS的X-Agent变种已经被发现,但Bitdefender的研究人员现在发现了该木马的第一个macOS版本。
它不是完全清楚该恶意软件是如何被分配,因为BitDefender的研究人员仅获得的恶意软件样本,而不是全部的攻击链。然而,这是可能的MacOS的恶意软件下载配成KOMPLEX,在九月发现,可能与此有关。
KOMPLEX通过利用在MacKeeper杀毒软件已知的漏洞感染的Mac电脑,据来自帕洛阿尔托网络研究者谁当时调查的恶意软件。该漏洞允许攻击者在用户访问特制的网页在Mac上执行远程命令。
帕洛阿尔托网络公司注意到Komplex downloader和APT28使用的Carberp木马变种之间的相似之处。该木马使用的命令和控制域名也与APT28的活动有关。
新推出的X-代理的MacOS版本使用非常相似的域名的KOMPLEX木马,只有他们的TLD不同,BitDefender的研究人员说。还有两个KOMPLEX和X-Agent的样本中相同的项目路径字符串,这表明它们是由同一作者创建的。
在X-Agent的恶意软件可以加载额外的模块,BitDefender的研究人员仍在调查。到目前为止,他们已经发现功能,允许攻击者探测的硬件和软件配置的系统,抢正在运行的进程列表,执行额外的文件,让桌面截图,并收获浏览器密码。一个模块被设计成搜索和窃取存储在Mac上iPhone备份,它可以包含关于目标用户进一步的敏感信息。
“我们知道被链接到APT28群展了一批Xagent组件适用于Windows / Linux和二进制文件MacOS的相似之处目前形成我们的调查对象样本的分析过去,” BitDefender的研究人员在说博客文章。“对于一个,有类似的模块,诸如文件系统,键盘记录,和RemoteShell,以及所谓的类似的网络模块的存在HttpChanel”。
APT28被认为是世界上最复杂,最成功的网络间谍集团之一,其经常使用的零日攻击 - 攻击先前未知的漏洞。该集团已被指责为许多黑客行动在世界各地,多年来,它的目标选择经常反映俄罗斯的地缘政治利益。安全研究人员认为,该集团可能是与俄罗斯军事情报局(GRU)。