来自Bitdefender的安全专家发现了俄罗斯APT28组织使用的首个MAC OS版X-Agent恶意软件。
安全专家指出,这款恶意软件可能是APT28组织其中的一个网络武器。该黑客组织曾在2016年美国总统大选中被指攻击美国民主党国家委员会。
研究人员认为APT28已经开发出一款名为Sofacy或X-Agent的恶意软件,它只用于网络间谍行动。专家发现了旨在攻陷Windows、Linux和安卓系统的X-Agent变种。研究人员并未透露是如何发现这款恶意软件的,且目前并没有发现该攻击链的信息。
X-Agent是一个模块化后门,可通过Komplex病毒下载器植入目标设备中。它能够加载额外模块,能被用作后门或者通过收集目标主机的硬件和软件组件信息来针对目标系统发动侦察活动。
2016年9月,来自Palo Alto的研究员发现了Fancy Bear(即APT28)使用Komplex木马针对使用MacKeeper杀毒软件的航空航天企业发动攻击。Komplex恶意软件跟Carberp木马具有无数相似点,它的功能改进后能够获取访问OS X系统的权限并使用相同的命令和控制服务器。研究人员发现Komplex的命令和控制服务器域名appleupdate.org此前并未被APT28使用过,而apple-icloud.net和itunes-helper.net域名都跟APT28的活动有直接关系。
这款MAC OS X-Agent恶意软件利用的域名跟Komplex木马使用的域名类似,唯一的区别就是TLD。研究人员发现这两款恶意软件样本中存在相似的项目路径字符串,说明同一个开发团队参与了这两款恶意软件的开发。另外也有证明表明MAC OS版的X-Agent也向跟APT28 Komplex OS X木马相似的一个命令和控制服务器URL上报。
综上,于2016年9月份发现的Komplex组件专门用作X-Agent二进制的下载器和安装器。