Snake Cyberespionage Malware已准备好咬Mac用户
一个复杂的俄罗斯讯连讯讯人数集团正在为Mac用户提供攻击,最近将其Windows后门程序移植到麦斯科斯。
该组织在安全行业中作为蛇,Turla或Uroburos,自2007年以来一直活跃,并对一些最复杂的讯连赛车攻击负责。它针对政府实体,情报机构,大使馆,军事组织,研究和学术机构和大公司。
“与俄罗斯涉嫌联系的其他多产攻击者相比,如APT28(花哨的熊)和APT29(舒适的熊),蛇的代码明显更加复杂,它的基础设施更加复杂,目标更加精心挑选,”来自荷兰Cybserecurity公司福克斯的研究人员 - 在周三的博客文章中说。
Snake的攻击传统上专注于Windows,它是最初为该平台设计的恶意软件框架。但是,2014年,来自卡巴斯基实验室的研究人员发现了一个连接到Snake Toolkit的Linux组件,这表明该小组也在扩展其对其他平台的活动。
似乎Snake现在对Mac用户感兴趣:Fox-IT研究人员最近发现了一个麦斯卡斯体变体的麦斯卡尔软件工具,它似乎是其Windows版本的直接端口,因为它仍然有引用代码中的Microsoft的Internet Explorer的人工制品。
福克斯 - 它还没有看到麦克斯样本在野外分发并认为它仍然在开发或测试阶段。然而,它清楚地表明蛇正在准备对Apple用户的攻击,因为MacBooks在是讯连讯讯组织有价值的目标的高级管理人员中很受欢迎。
狐狸麦斯科芯片由Fox-IT伪装为Flash Player安装程序,并与最有可能被盗的Apple批准的开发人员证书签名。此类签名证书由Apple向其开发人员计划的成员发出,并且需要在官方Mac App Store中发布应用程序。
更重要的是,使用有效的Apple Developer证书签名的应用程序在安装期间触发安全警报,并且不会被麦斯卡网守安全功能阻止。上周,检查点软件技术的研究人员发现了一个不同的恶意软件程序,用于签署被盗证书。
福克斯 - 它已经了解了Apple的安全团队关于蛇麦斯体变量和用于签名的证书可能会被撤销。但是,鉴于其资源,讯连月架集团可能很少有难以找到滥用证书。
