X-Agent间谍软件变种正在攻击Mac系统 据称与APT28有关

安全研究人员发现一个新的Mac恶意软件，该恶意软件被设计用于窃取web浏览器密码，获取显示器屏幕截图，检测系统配置、执行文件，以及提取计算机上存储的iPhone备份文件。该间谍软件之前曾被用于对Windows、iOS、安卓和Linux设备发动网络攻击。

据称，该恶意软件由名为APT28的俄罗斯网络间谍团伙开发，该团伙也被称为魔幻熊（Fancy Bear）、Sofacy、Sednit和兵风暴（Pawn Storm），至少从2007年开始运营。

APT28是什么

APT28是俄罗斯的一个网络间谍组织，被控于去年入侵了美国民主党全国委员会的邮件服务器，干预了2016年美国总统选举。Bitdefender在周二发布的一篇博文称，

“我们之前对APT28团伙相关的样本的分析表明，Windows/Linux系统中的Sofacy/APT28/Sednit Xagent组件与当前我们正在调查的Mac OS二进制文件存在很大相似性。”

X-Agent间谍软件中的模块与APT28相似

“这次，出现了相似模块，如FileSystem、KeyLogger和RemoteShell以及称为HttpChanel的相似的网络模块。”

如其他平台的变体类似，Mac版本的X-Agent间谍软件也充当后门角色，具备高级网络间谍能力，可根据攻击目标进行自定义。

此外，X-Agent可通过利用目标计算机安装的MacKeeper软件中的漏洞以及知名的恶意软件下载工具Komplex植入。Komplex是APT28在第一阶段用于感染机器的木马程序。

以上证据表明，X-Agent的最新发现的Mac版本也是由同一俄罗斯黑客团伙开发。

X-Agent间谍软件的执行过程

一旦安装成功，该后门程序检查调试器是否存在，若存在，将终止自身运行以阻止其执行。若调试器不存在，该后门程序将等待建立互联网连接与C&C服务器通信。Bitdefender的研究人员说，

“通信建立后，净负荷会启动模块。我们初步分析，大多数的C&C URL均模拟Apple的域名。一旦成功连接C&C服务器，净负荷会发送Hello消息，生成陷入死循环的两个通信线程。一个通过POST请求向C&C服务器发送信息，而另一个监控GET请求以获取命令。”

研究还正在继续，Bitdefender的安全研究人员刚刚获取了Mac恶意软件样本，还上不完全清楚攻击如何执行。

原文发布时间：2017年3月24日 

本文由：HackerNews发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/x-agent-spyware-variants-are-attacking-mac-systems

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站