APT28 – одно из названий хакерской группы, также известной под именами Fancy Bear, Pawn Storm, Sofacy, Sednit, Tsar Team, Strontium. Напомню, что эта предположительно русскоязычная группировка взяла на себя ответственность за взлом Всемирного антидопингового агентства (ВАДА) и атаковала Демократическую партию США. Также Fancy Bear известны взломом парламента Германии и французской телесети TV5Monde.
Аналитики компаний Bitdefender и Palo Alto рассказали об обнаружении macOS-версии вредоноса XAgent, авторство которого давно приписывают APT28. Вариации этого модульного бэкдора существуют и для других ОС, включая Windows, iOS и Android, и они известны специалистам довольно давно. Также в арсенале группировки имеется бэкдор для Linux-систем Fysbis, фреймворк DealersChoice для эксплуатации багов Adobe Flash и дроппер Komplex для Mac-систем.
Исследователи пишут, что свежий XAgentOSX (так называют малварь сами хакеры) явно имеет немало параллелей с Windows-версией. Для доставки вредоноса на компьютеры жертв используется уже упомянутый дроппер Komplex, впервые замеченный в сентябре 2016 года.
Функциональность XAgentOSX схожа с Windows-версией малвари: попав в систему, XAgentOSX связывается управляющими серверами и ожидает инструкций. Операторы могут приказать вредоносу найти в локальной системе какой-то файл, а также загрузить и установить дополнительную малварь. Кроме того, XAgentOSX – это модульная угроза, то есть атакующие могут «настраивать» малварь под каждую отдельную жертву. Среди возможностей XAgentOSX присутствуют сбор данных о железе и системе, поиск и удаление файлов, загрузка новых файлов, снятие скриншотов, дамп паролей из браузера, загрузка похищенных данных на FTP-сервер и так далее.
«Прошлые анализы образцов [малвари], связанных с APT28, демонстрируют сходство между Xagent для Windows/Linux и бинарниками Xagent для macOS, которые в настоящий момент являются объектом исследования. К примеру, здесь используются аналогичные модули, такие как FileSystem, KeyLogger и RemoteShell, а также сетевой модуль HttpChanel», — пишут специалисты Bitdefender.
Кроме того, аналитики Bitdefender предполагают, что основная задача XAgentOSX – это обнаружение и кража бэкапов iPhone, хранящихся на скомпрометированном Mac. Судя по всему, хакеры сравнительно недавно сосредоточили усилия на создании вредоноса для macOS, хотя iOS версия XAgent известна еще с 2014 года.
Фото: Sumitcommunicationcyber