Xagent Mac マルウェア
Xagent は、他のデバイスやオペレーティング システムの中でも特に、MacOS を実行しているコンピューターに感染する可能性のあるマルウェアの名前です。このマルウェアは、Fancy Bear または APT28 と総称される脅威アクター グループに関連していると考えられています。APT28 は、ロシアの軍事諜報機関の支援を受けていると一部の人が信じている、ロシアで活動しているエンティティです。
このマルウェアは、必ずしも Mac コンピューターを標的にしたものではありませんでした。セキュリティ研究者によると、Xagent の起源は、ウクライナの榴弾砲で実行されるソフトウェアに感染するように特別に作成されたマルウェアにまでさかのぼることができます。
Xagent ソース コードの以前のバージョンは、2015 年にセキュリティ研究者によって入手され、広範な分析が公開されました。ただし、マルウェアの Mac バージョンは少し異なります。
Mac に影響を与える Xagent は Komplex ダウンローダーを介して配布され、XAgentOSX (Windows Xagent マルウェアの名前と OS X (2016 年以前の Apple の OS の名前) のマッシュアップ) とも呼ばれます。
Xagent の Mac バージョンは、コマンド アンド コントロール サーバーを使用して、オペレーターからコマンドを受け取ることができます。さらに、このマルウェアはキーロガー モジュールを使用し、侵入先のマシンでキーストロークを記録できます。
コマンド アンド コントロール サーバーが感染したシステム上のマルウェアに入力できるコマンドは多岐にわたります。これらには、現在実行中のプロセス、ユーザー名、OS バージョンに関する情報を収集するコマンドが含まれます。
さらに、Xagent は、侵入先のコンピュータのストレージにモバイル iOS デバイスのバックアップがあるかどうかを確認できます。マルウェアは、指定された場所から追加のファイルをダウンロードすることもできます。ファイルがダウンロードされると、C2 サーバーは別のコマンドを使用してそのファイルを実行することもできます。最後に、マルウェアはターゲット システムで見つかったすべてのファイルの完全なリストを作成し、設定された時間間隔でスクリーンショットを撮ることもできます。
セキュリティ会社パロアルトネットワークスが分析したところ、マルウェアは次の C2 サーバーに接続していることが判明しました。
23.227.196[.]215
Apple-iclods[.]org
アップルチェッカー[.]org
アップルアップトゥデイ[.]org
アップル検索[.]info
研究者はまた、Xagent マルウェアの Windows バージョンと Mac バージョンの両方を操作する攻撃者が、集中化されたコマンド アンド コントロール インフラストラクチャを設定し、同じサーバーと方法を使用して両方のオペレーティング システムを実行しているデバイスを制御できると考えています。
Xagent は、一般的に「Mac マルウェア」という言葉に関連付けられている、一般的なガーデン タイプのブラウザ ハイジャッカーよりもはるかに危険です。通常のホーム ユーザーにとって幸いなことに、これは主に高度に標的を絞った攻撃で使用され、はるかに広範囲にわたる悪意のあるスパム メール キャンペーンでは配布されません。