過去にさまざまな攻撃の設計者であったことが知られているハッカーのグループ 米国の防衛産業基地に対して。、およびこのセクターの他の重要な企業は、最近、OSXでシステムを攻撃するためのバックドアを含むプログラムの使用を開始しました。
FireEyeのセキュリティ研究者は、木曜日にブログにコメントしました。 バックドアコードはOSXに移植されました 過去数年間に標的型攻撃で広く使用され、その過程で何度も更新されたWindowsバックドアから。
悪意のあるプログラムはXSLCmdというニックネームが付けられており、ファイルの制御と転送、および感染したコンピューターへの他の悪意のあるプログラムのインストールのためにリバースシェルを開くことができます。 OSXバリアントも登録できます キーストロークとスクリーンショット、 FireEyeの研究者によると。
Macにインストールすると、このマルウェアは»/ Library / Logs / clipboardd»および»HOME / Library / LaunchAgents / clipboardd«にインストールされます。 また、com.apple.service.clipboardd.plistファイルを作成して、システムの再起動後に確実に実行されるようにします。 このマルウェアには、OS Xのバージョンをチェックするコードが含まれていますが、OS X 10.8(Mountain Lion)より前のバージョンはチェックされていません。 これは、バージョン10.8が、プログラムが作成されたときのOS Xの最後のバージョンであるか、少なくとも意図された目的で使用される最も一般的なバージョンであったことを示しています。
XSLCmdバックドアは、サイバースパイグループによって作成および使用されています。 少なくとも2009年から稼働 そしてFireEyeの研究者によってGREFと呼ばれています。 「歴史的に、GREFは、米国防衛産業基地(DIB)、世界中の電子機器およびエンジニアリング企業、さらには財団やその他の非政府組織、特にアジアに関心のある組織を含む幅広い組織を率いてきました。» 。
FireEyeによると:
OS Xは、経験の浅いユーザーが新しいシステムにすばやく適応し、操作が簡単であることに気づき、より強力な機能を使用するハイテクユーザーや経営幹部でさえ、企業の間で人気を博しています[…]安全なコンピューティングプラットフォーム。これは、両方のIT部門に危険な自己満足感をもたらす可能性があります。 実際、セキュリティ業界はOS Xシステム向けに多くの製品を提供し始めていますが、これらのシステムは、Windowsの対応するシステムよりも、企業環境での規制や監視が少ない場合があります。