昨年の米国大統領選挙に干渉したとされる「APT28」として知られるロシアのハッカー集団が、マルウェアパッケージ「Xagent」が攻撃できるデバイスのリストにMacを追加した。
アルステクニカ:
他のプラットフォーム版と同様に、Mac版Xagentはモジュール式のバックドアであり、侵入の目的に合わせてカスタマイズできると、ウイルス対策プロバイダーBitdefenderの研究者が火曜日に公開したブログ記事で報告した。その機能には、パスワードの記録、画面表示の写真撮影、侵入したMacに保存されているiOSバックアップの窃取などが含まれる。
マルウェアがパスワードやiOSのバックアップを盗む
このマルウェアはKomplexダウンローダーを介してインストールされ、すぐにデバッガーの存在を確認します。Bitdefenderによると、マルウェアはインターネット接続が利用可能になるまで待機し、コマンド&コントロールサーバーにアクセスして特定のペイロードモジュールを起動します。C&CサーバーのURLのほとんどはAppleドメインを偽装しています。
機能には、パスワードの記録、画面表示の写真の撮影、侵害された Mac に保存されている iOS バックアップの盗難などが含まれます。
今回の発見は、APT28に帰属するとされる既に相当数のツールの上に成り立っており、他の研究者はこれらをSofacy、Sednit、Fancy Bear、Pawn Stormと呼んでいます。CrowdStrikeなどのセキュリティ企業の研究者によると、APT28は少なくとも2007年から活動しており、ロシア政府と密接な関係があります。Bitdefenderが昨年発表した分析では、APT28のメンバーはロシア語を話し、主にロシアの営業時間中に活動し、ウクライナ、スペイン、ロシア、ルーマニア、米国、カナダを標的としていることが判明しました。
このグループは民主党全国大会のハッカーかもしれない
2016年の米国大統領選挙中に民主党全国委員会をハッキングし、ウィキリークス経由で電子メールを漏洩したとされるグループがAPT28であることを示唆する状況証拠がある。
「APT28グループとの関連性が知られているサンプルの過去の分析では、Windows/Linux用のSofacy/APT28/Sednit Xagentコンポーネントと、現在調査対象となっているMac OSバイナリとの間に多くの類似点が見られました」と、Bitdefenderの研究者は火曜日のレポートで述べています。「今回初めて、FileSystem、KeyLogger、RemoteShellといった類似モジュールに加え、HttpChanelと呼ばれる類似ネットワークモジュールも存在しています。」
Mac オペレーティングシステムは長年「ウイルスフリー」とみなされてきましたが、最近では主に Apple の人気 iOS デバイスシリーズとの関連性から、ハッカーの注目が高まっています。
先週、Mac上で「古き良き」タイプの攻撃を仕掛けるマルウェアが発見されました。このマルウェアはAdobe Flash Playerのアップデートを装っていました。この「アップデート」は実際にはユーザーのキーチェーンのコピーを取得し、ユーザー名とパスワードをフィッシングし、入手可能な場所からその他の個人情報を収集します。そして、収集されたデータはリモートサイトに送り返されます。
