安全研究人员发现一个新的Mac恶意软件,该恶意软件被设计用于窃取web浏览器密码,获取显示器屏幕截图,检测系统配置、执行文件,以及提取计算机上存储的iPhone备份文件。该间谍软件之前曾被用于对Windows、iOS、安卓和Linux设备发动网络攻击。
据称,该恶意软件由名为APT28的俄罗斯网络间谍团伙开发,该团伙也被称为魔幻熊(Fancy Bear)、Sofacy、Sednit和兵风暴(Pawn Storm),至少从2007年开始运营。
APT28是什么
APT28是俄罗斯的一个网络间谍组织,被控于去年入侵了美国民主党全国委员会的邮件服务器,干预了2016年美国总统选举。Bitdefender在周二发布的一篇博文称,
“我们之前对APT28团伙相关的样本的分析表明,Windows/Linux系统中的Sofacy/APT28/Sednit Xagent组件与当前我们正在调查的Mac OS二进制文件存在很大相似性。”
X-Agent间谍软件中的模块与APT28相似
“这次,出现了相似模块,如FileSystem、KeyLogger和RemoteShell以及称为HttpChanel的相似的网络模块。”
如其他平台的变体类似,Mac版本的X-Agent间谍软件也充当后门角色,具备高级网络间谍能力,可根据攻击目标进行自定义。
此外,X-Agent可通过利用目标计算机安装的MacKeeper软件中的漏洞以及知名的恶意软件下载工具Komplex植入。Komplex是APT28在第一阶段用于感染机器的木马程序。
以上证据表明,X-Agent的最新发现的Mac版本也是由同一俄罗斯黑客团伙开发。
X-Agent间谍软件的执行过程
一旦安装成功,该后门程序检查调试器是否存在,若存在,将终止自身运行以阻止其执行。若调试器不存在,该后门程序将等待建立互联网连接与C&C服务器通信。Bitdefender的研究人员说,
“通信建立后,净负荷会启动模块。我们初步分析,大多数的C&C URL均模拟Apple的域名。一旦成功连接C&C服务器,净负荷会发送Hello消息,生成陷入死循环的两个通信线程。一个通过POST请求向C&C服务器发送信息,而另一个监控GET请求以获取命令。”
研究还正在继续,Bitdefender的安全研究人员刚刚获取了Mac恶意软件样本,还上不完全清楚攻击如何执行。
原文发布时间:2017年3月24日
本文由:HackerNews发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/x-agent-spyware-variants-are-attacking-mac-systems