政、企機構(gòu)應(yīng)警惕!俄羅斯間諜組織Snake已將目標瞄準Mac用戶

責任編輯:editor004

2017-05-09 12:07:54

摘自:E安全

據(jù)報道,俄羅斯網(wǎng)絡(luò)間諜組織Snake最近將Windows后門程序移植到了MacOS。

據(jù)報道,俄羅斯網(wǎng)絡(luò)間諜組織Snake最近將Windows后門程序移植到了MacOS。

Snake網(wǎng)絡(luò)間諜組織自2007年以來一直活躍。關(guān)于該組織,安全專家熟知的名字有Snake、Turla和Uroburos。據(jù)研究人員表示,Snake使用的惡意軟件與目前為止幾起最復(fù)雜的網(wǎng)絡(luò)間諜攻擊有關(guān)。這些惡意軟件主要針對軍事組織、政府實體、大使館、情報機構(gòu)、大型公司以及研究和學(xué)術(shù)機構(gòu)展開攻擊。

荷蘭網(wǎng)絡(luò)安全公司Fox-IT指出,與其它俄羅斯多產(chǎn)攻擊者(例如APT28和APT29)相比, Snake的代碼和基礎(chǔ)設(shè)施更為復(fù)雜,且針對的目標經(jīng)過精心挑選。

Snake網(wǎng)絡(luò)間諜組織通常會針對Windows用戶,其惡意軟件框架最開始為Windows平臺創(chuàng)建。直到2014年,卡巴斯基實驗室的安全專家發(fā)現(xiàn)一個與Snake工具包相關(guān)的Linux組件,這表明這個網(wǎng)絡(luò)間諜組織正將活動擴大到其它平臺。

目前,Snake似乎對Mac用戶頗感興趣。

政、企機構(gòu)應(yīng)警惕!俄羅斯間諜組織Snake已將目標瞄準Mac用戶-E安全

不久前, Fox-IT公司的安全研究人員發(fā)現(xiàn)MacOS版本的Snake惡意軟件工具,這款工具是Windows版本的直接端口,因為它的開發(fā)文檔(Artefact)仍在代碼中提及Microsoft的Internet Explorer。

據(jù)Fox-IT專家稱,這款MacOS惡意軟件仍在開發(fā)或測試階段,并未在外大肆散播。不過,這正表明Snake正準備攻擊蘋果用戶,但這并不奇怪,畢竟MacBook在高管中的使用率相當高。

Fox-IT研究人員發(fā)現(xiàn),Snake macOS樣本偽裝成Flash Player安裝程序,其簽名可能是盜用的經(jīng)蘋果審核通過的開發(fā)者證書。這類代碼簽名證書由蘋果向開發(fā)項目的成員簽發(fā),并且是在官方Mac應(yīng)用商店上發(fā)布應(yīng)用程序所需的證書。

但重點是,帶有蘋果開發(fā)者證書簽名的應(yīng)用程序在安裝過程中不會彈出任何安全提示,并且macOS Gatekeeper安全功能也不會阻止其進行安裝。

無獨有偶,一個多星期以前,Check Point軟件技術(shù)公司的專家發(fā)現(xiàn)一款不同的MacOS惡意程序,這款惡意程序也帶有被盜蘋果證書的簽名。

Fox-IT研究人員就該問題已經(jīng)提醒蘋果公司的安全團隊,他們很可能會撤銷證書。無論如何,考慮到Snake間諜組織的資源,或許他們會在不久的將來濫用另一個證書。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號