マイキー・キャンベル
· 2分で読めます
火曜日の報道によると、昨年の大統領選挙に干渉したとされるロシアのハッキング集団が、Windows、iOS、Android、Linuxデバイスに侵入する能力で知られるマルウェアパッケージ「Xagent」を進化させ、Macを標的にしているという。
セキュリティ調査会社兼ウイルス対策ソフト開発会社の Bitdefender によって発見された Xagent の Mac 版は、侵入者に対するモジュール式のバックドアとして機能する点で以前のバージョンと似ているとArs Technicaが報じている。
マルウェアは、おそらくKomplexダウンローダーを介してインストールされると、デバッガーの存在を確認します。デバッガーが見つからない場合、Xagentはインターネット接続を待機し、コマンド&コントロールサーバーにアクセスします。そして、特定のペイロードモジュールが起動されます、とBitdefenderは説明しています。Macマルウェアであるため、ほとんどのC&C URLはAppleドメインを偽装しています。
Xagentペイロードには、標的のMacのシステム構成を検索し、実行中のプロセスをオフロードし、コードを実行するモジュールが含まれています。さらに厄介なのは、デスクトップのスクリーンショットを取得し、ウェブブラウザのパスワードを盗み、iPhoneのバックアップをオフロードする機能です。Bitdefenderによると、後者の機能は情報収集の観点からおそらく最も重要です。
正確な系統はまだ特定されていないが、セキュリティ企業は、Mac 版の Xagent の背後に APT28 がいると考えている。
「APT28グループとの関連性が判明しているサンプルの過去の分析では、Windows/Linux用のSofacy/APT28/Sednit Xagentコンポーネントと、現在調査対象となっているMac OSバイナリとの間に多くの類似点が見られた」と報告書には記されている。
状況証拠から、Sofacy、Sednit、Fancy Bear、Pawn Stormとしても知られるAPT28は、ロシア政府と深い関係にあることが示唆されています。昨年、このグループは2016年の大統領選挙中に民主党全国委員会をハッキングし、ウィキリークスを通じて電子メールを漏洩したとされています。
Bitdefenderは、Xagentに関する調査が継続中であると述べている。
本日の展開は、セキュリティ研究者がイラン発と思われる新たなMacマルウェアを発見してからわずか1週間足らずの出来事です。「MacDownloader」と呼ばれるこの悪質なソフトウェアは、偽のAdobe Flash Playerダイアログを表示し、その後、不可解にも、そして皮肉にも、「Bitdefenderのアドウェア削除ツール」を装う別のウィンドウを表示することで、ユーザーを騙してパッケージをダウンロードさせようとします。
Appleは長年「ウイルスフリー」のMac OS Xプラットフォームを誇りとしてきたが、標的型マルウェア攻撃の脆弱性が高まっている。ハッカーの関心がWindowsからApple製品に移ったのは、世界中のスマートフォンユーザーの大部分が利用するOSであるiOSの成功によるものと考えられる。
