安全研究

业界动态
X-Agent间谍软件变种正在攻击Mac系统 据称与APT28有关

安全研究人员发现一个新的Mac恶意软件,该恶意软件被设计用于窃取web浏览器密码,获取显示器屏幕截图,检测系统配置、执行文件,以及提取计算机上存储的iPhone备份文件。该间谍软件之前曾被用于对WindowsiOS、安卓和Linux设备发动网络攻击。   

 

据称,该恶意软件由名为APT28的俄罗斯网络间谍团伙开发,该团伙也被称为魔幻熊(Fancy Bear)、Sofacy、Sednit和兵风暴(Pawn Storm),至少从2007年开始运营。   

 

APT28是什么   

APT28是俄罗斯的一个网络间谍组织,被控于去年入侵了美国民主党全国委员会的邮件服务器,干预了2016年美国总统选举。Bitdefender在周二发布的一篇博文称,“我们之前对APT28团伙相关的样本的分析表明,Windows/Linux系统中的Sofacy/APT28/Sednit Xagent组件与当前我们正在调查的Mac OS二进制文件存在很大相似性。”    

 

X-Agent间谍软件中的模块与APT28相似   

 

“这次,出现了相似模块,如FileSystem、KeyLogger和RemoteShell以及称为HttpChanel的相似的网络模块。”如其他平台的变体类似,Mac版本的X-Agent间谍软件也充当后门角色,具备高级网络间谍能力,可根据攻击目标进行自定义。 此外,X-Agent可通过利用目标计算机安装的MacKeeper软件中的漏洞以及知名的恶意软件下载工具Komplex植入。Komplex是APT28在第一阶段用于感染机器的木马程序。 以上证据表明,X-Agent的最新发现的Mac版本也是由同一俄罗斯黑客团伙开发。  

 

X-Agent间谍软件的执行过程   

 

一旦安装成功,该后门程序检查调试器是否存在,若存在,将终止自身运行以阻止其执行。若调试器不存在,该后门程序将等待建立互联网连接与C&C服务器通信。Bitdefender的研究人员说,“通信建立后,净负荷会启动模块。我们初步分析,大多数的C&C URL均模拟Apple的域名。一旦成功连接C&C服务器,净负荷会发送Hello消息,生成陷入死循环的两个通信线程。一个通过POST请求向C&C服务器发送信息,而另一个监控GET请求以获取命令。”   

 

 


 

研究还正在继续,Bitdefender的安全研究人员刚刚获取了Mac恶意软件样本,还上不完全清楚攻击如何执行。   

本文由:HackerNews 发布,版权归属于原作者。                        
如果转载,请注明出处及本文链接:                        
http://toutiao.secjia.com/x-agent-spyware-variants-are-attacking-mac-systems
如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭