俄罗斯的网络人为美国竞选黑客归咎于现在的目标
安全研究人员已经发现了一个麦克斯恶意软件计划,即去年签名的俄罗斯讯讯组群体集团使用的阿森纳可能的一部分。
该集团在安全行业中闻名于不同名称,包括花哨的熊,典当风暴和APT28,几乎已经运营了。它被认为是唯一的用户和特洛伊木马程序的开发人员,称为Sofacy或X-Agent。
Windows,Linux,Android和iOS的X-Agent Variants已在过去的野外找到,但Bitdefender的研究人员现在已经遇到了The Trojan的第一款Macos版本。
它并不完全清楚恶意软件的分发方式,因为Bitdefender研究人员只获得恶意软件样本,而不是完整的攻击链。但是,它可能会在9月份发现Komplex的MacOS恶意软件下载器,可能会涉及。
根据帕洛阿尔托网络的研究人员,通过调查恶意软件的研究人员,通过研究牧箱防病毒软件中的已知漏洞,通过调查恶意软件的研究人员来感染Mac。漏洞允许攻击者在用户访问特制网页时在Mac上执行远程命令。
Palo Alto Networks注意到Komplex下载器之间的相似之处和墨尔啤酒特洛伊木马的变种,即APT28也被众所周知使用。特洛伊木马使用的命令和控制域名也与APT28的活动相关联。
Bitdefender研究人员表示,新的X-Agent MacOS版本使用非常相似的域名,只有他们的TLD不同。Komplex和X-Agent样本中还有相同的项目路径字符串,建议它们由同一作者创建。
X-Agent恶意软件可以加载额外的模块,该模块仍在调查。到目前为止,他们找到了允许攻击者为硬件和软件配置探测系统的功能,抓取运行进程列表,执行其他文件,获取桌面屏幕截图和收获浏览器密码。一个模块旨在搜索和窃取存储在Mac上的iPhone备份,这可以包含有关目标用户的进一步敏感信息。
“我们过去已知与APT28组相关的样品的过去分析显示了Windows / Linux的XAGENT组件之间的许多相似性,并且麦斯科斯州的麦克斯二进制文件是我们调查的对象,”Bitdefender研究人员在一个博客文章中说。“对于一个,存在类似的模块,例如文件系统,键盘记录器和remoteshell,以及称为HttpChanel的类似网络模块。”
APT28被认为是世界上最复杂和成功的春季群体之一,它经常使用零天力 - 利用以前未知的漏洞。多年来,该集团被归咎于全球许多黑客行动,其目标的选择经常反映出俄罗斯的地缘政治利益。安全研究人员认为,该集团可能与俄罗斯军事情报服务(GRU)相关联。