一个经验丰富的俄罗斯网络间谍组织正准备攻击Mac用户,并在最近将其Windows后门程序移植到macOS上。
该组织在安全行业被称为Snake、Turla或Uroburos,至少自2007年以来一直很活跃,发起了一些最复杂的网络间谍攻击。它的目标是政府实体、情报机构、大使馆、军事组织、研究和学术机构以及大型企业。
荷兰电子安全公司Fox-IT的研究人员在一份声明中说:“与其他据称与俄罗斯有关联的多产攻击者相比,比如APT28 (Fancy Bear)和APT29 (Cozy Bear), Snake的代码要复杂得多,它的基础设施更复杂,目标也更精心选择。博客星期三。
Snake的攻击通常集中在Windows上,而它的恶意软件框架最初就是为该平台设计的。然而,在2014年,卡巴斯基实验室的研究人员发现了一个与Snake工具包有关的Linux组件,这表明该组织正在将其活动扩展到其他平台。
Snake现在似乎对Mac用户产生了兴趣:Fox-IT研究人员最近发现了该组织恶意软件工具的macOS变体,似乎直接移植到了Windows版本,因为它的代码中仍然有引用微软ie浏览器的人工代码。
它还没有看到macOS的样本在野外分布,相信它仍在开发或测试阶段。然而,这清楚地表明Snake正准备攻击苹果用户,这并不奇怪,因为MacBooks在高层管理人员中很受欢迎,而他们是网络间谍活动的重要目标。
Fox-IT发现的Snake macOS样本伪装成一个Flash播放器安装程序,并签署了一个很可能被窃取的苹果批准的开发者证书。这些代码签名证书由苹果公司颁发给其开发者计划的成员,需要这些证书才能在官方Mac App Store中发布应用程序。
更重要的是,使用有效的苹果开发者证书签署的应用程序在安装期间不会触发安全警报,也不会被macOS Gatekeeper安全特性阻止。上周,来自Check Point软件技术公司的研究人员发现了一个不同的恶意软件程序用偷来的证书签名的macOS。
Fox-IT已经通知了苹果的安全团队关于Snake macOS变种的消息,用来签署变种的证书可能会被撤销。然而,考虑到它的资源,这个网络间谍组织很可能会毫不费力地找到另一个可以滥用的证书。