史上最大規模のサイバースパイ活動への関与が疑われるグループが「Mac」ユーザーをマルウェアで狙っている。このマルウェアは、パスワードを盗み、スクリーンショットを撮り、バックアップの「iPhone」データを入手するというものだ。
提供:iStock
Bitdefenderのサイバーセキュリティ研究者がこのマルウェアを発見した。米大統領選に干渉したとの疑いが出ているハッカー集団、APT28と関連があるとみられるという。
Bitdefenderの指摘によると、2016年9月から発生している今回のMacに対するマルウェア攻撃と、APT28の過去の活動には数多くの類似点があるという。同グループはロシア軍情報部と密接な関係があると考えられており、Fancy Bearの別名でも知られている。
この新種のマルウェアは、「Mac OS X」搭載マシンを標的としており、システムにモジュラーバックドアをインストールし、侵入者がサイバースパイ活動を実行できるようにするものだ。
研究者たちが、今回のマルウェアとAPT28には関係があると考えているのは、分析されたサンプルに同じドロッパー(ダウンロード役のマルウェア)と、類似したコマンド&コントロール(C&C)サーバのURLが含まれているからだ。
このバックドアは、Macのシステムへのインストールに成功すると、まずデバッガがないかチェックし、見つかった場合には自身を終了させる。デバッガが見つからなければ、インターネットに接続されるのを待って、AppleのドメインになりすましたC&Cサーバとの通信を開始する。
C&Cサーバへの接続が確立すると、ペイロードが2つの通信スレッドを作る。1つはC&Cへ情報を送信するもの、もう1つはコマンドの受信に用いるものだ。
このマルウェアを分析したところ、複数のモジュールの存在が確認された。これらのモジュールは、感染したシステムのハードウェアとソフトウェアの構成調査、実行中のプロセスに関する情報の収集、デスクトップのスクリーンショットの取得、パスワードの窃取といった機能を持っている。
Xagentはまた、感染したMacに保存されているiPhoneのバックアップを盗む能力も備えている。この機能が使われた場合、デバイスに保存されたさらに多くのファイル、さらには秘密あるいは取り扱いに注意を要するデータへのアクセスが侵入者に提供されることになり、より広範囲でのサイバースパイ活動が可能になる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。