Macから情報を盗むマルウェアに要注意--「iPhone」のバックアップも標的

Danny Palmer (ZDNET.com) 翻訳校正: 水書健司 長谷睦 (ガリレオ)

2017-02-16 10:46

 史上最大規模のサイバースパイ活動への関与が疑われるグループが「Mac」ユーザーをマルウェアで狙っている。このマルウェアは、パスワードを盗み、スクリーンショットを撮り、バックアップの「iPhone」データを入手するというものだ。

提供:iStock
提供:iStock

 Bitdefenderのサイバーセキュリティ研究者がこのマルウェアを発見した。米大統領選に干渉したとの疑いが出ているハッカー集団、APT28と関連があるとみられるという。

 Bitdefenderの指摘によると、2016年9月から発生している今回のMacに対するマルウェア攻撃と、APT28の過去の活動には数多くの類似点があるという。同グループはロシア軍情報部と密接な関係があると考えられており、Fancy Bearの別名でも知られている。

 この新種のマルウェアは、「Mac OS X」搭載マシンを標的としており、システムにモジュラーバックドアをインストールし、侵入者がサイバースパイ活動を実行できるようにするものだ。

 研究者たちが、今回のマルウェアとAPT28には関係があると考えているのは、分析されたサンプルに同じドロッパー(ダウンロード役のマルウェア)と、類似したコマンド&コントロール(C&C)サーバのURLが含まれているからだ。

 このバックドアは、Macのシステムへのインストールに成功すると、まずデバッガがないかチェックし、見つかった場合には自身を終了させる。デバッガが見つからなければ、インターネットに接続されるのを待って、AppleのドメインになりすましたC&Cサーバとの通信を開始する。

 C&Cサーバへの接続が確立すると、ペイロードが2つの通信スレッドを作る。1つはC&Cへ情報を送信するもの、もう1つはコマンドの受信に用いるものだ。

 このマルウェアを分析したところ、複数のモジュールの存在が確認された。これらのモジュールは、感染したシステムのハードウェアとソフトウェアの構成調査、実行中のプロセスに関する情報の収集、デスクトップのスクリーンショットの取得、パスワードの窃取といった機能を持っている。

 Xagentはまた、感染したMacに保存されているiPhoneのバックアップを盗む能力も備えている。この機能が使われた場合、デバイスに保存されたさらに多くのファイル、さらには秘密あるいは取り扱いに注意を要するデータへのアクセスが侵入者に提供されることになり、より広範囲でのサイバースパイ活動が可能になる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]