俄罗斯的网络表归咎于美国竞选黑客现在瞄准MACS

安全研究人员已经发现了一个麦克斯恶意软件计划，即去年签名的俄罗斯讯讯组群体集团使用的阿森纳可能的一部分。

本集团 - 在安全行业的不同名称中已知，包括花哨的熊，典当风暴和APT28 - 已经运营了近十年。它被认为是唯一的用户和特洛伊木马程序的开发人员，称为Sofacy或X-Agent。

Windows，Linux，Android和iOS的X-Agent Variants已在过去的野外找到，但Bitdefender的研究人员现在已经遇到了The Trojan的第一款Macos版本。

它不完全清楚恶意软件是如何分发的，因为Bitdefender研究人员只获得恶意软件样本，而不是完全攻击链。但是，它可能会在9月份发现Komplex的MacOS恶意软件下载器，可能会涉及。

根据帕洛阿尔托网络的研究人员，通过调查恶意软件的研究人员，通过研究牧箱防病毒软件中的已知漏洞，通过调查恶意软件的研究人员来感染Mac。漏洞允许攻击者在用户访问特制网页时在Mac上执行远程命令。

Palo Alto Networks注意到Komplex下载器之间的相似之处和墨尔啤酒特洛伊木马的变种，即APT28也被众所周知使用。特洛伊木马使用的命令和控制域名也与APT28的活动相关联。

Bitdefender研究人员表示，新的X-Agent MacOS版本使用非常相似的域名，只有他们的TLD不同。Komplex和X-Agent样本中还有相同的项目路径字符串，建议它们由同一作者创建。

X-Agent恶意软件可以加载额外的模块，该模块仍在调查。到目前为止，他们找到了允许攻击者为硬件和软件配置探测系统的功能，抓取运行进程列表，执行其他文件，获取桌面屏幕截图和收获浏览器密码。一个模块旨在搜索和窃取存储在Mac上的iPhone备份，这可以包含有关目标用户的进一步敏感信息。

“我们过去已知与APT28组相关的样品的过去分析显示了Windows / Linux的XAGENT组件之间的许多相似性，并且麦斯科斯州的麦克斯二进制文件是我们调查的对象，”Bitdefender研究人员在一个博客文章中说。“对于一个，存在类似的模块，例如文件系统，键盘记录器和remoteshell，以及称为HttpChanel的类似网络模块。”

APT28被认为是世界上最复杂和成功的春季群体之一，它经常使用零天力 - 利用以前未知的漏洞。多年来，该集团被归咎于全球许多黑客行动，其目标的选择经常反映出俄罗斯的地缘政治利益。安全研究人员认为，该集团可能与俄罗斯军事情报服务相关联。