据报道,俄罗斯网络间谍组织Snake最近将Windows后门程序移植到了MacOS。
Snake网络间谍组织自2007年以来一直活跃。关于该组织,安全专家熟知的名字有Snake、Turla和Uroburos。据研究人员表示,Snake使用的恶意软件与目前为止几起最复杂的网络间谍攻击有关。这些恶意软件主要针对军事组织、政府实体、大使馆、情报机构、大型公司以及研究和学术机构展开攻击。
荷兰网络安全公司Fox-IT指出,与其它俄罗斯多产攻击者(例如APT28和APT29)相比, Snake的代码和基础设施更为复杂,且针对的目标经过精心挑选。
Snake网络间谍组织通常会针对Windows用户,其恶意软件框架最开始为Windows平台创建。直到2014年,卡巴斯基实验室的安全专家发现一个与Snake工具包相关的Linux组件,这表明这个网络间谍组织正将活动扩大到其它平台。
目前,Snake似乎对Mac用户颇感兴趣。
政、企机构应警惕!俄罗斯间谍组织Snake已将目标瞄准Mac用户-E安全
不久前, Fox-IT公司的安全研究人员发现MacOS版本的Snake恶意软件工具,这款工具是Windows版本的直接端口,因为它的开发文档(Artefact)仍在代码中提及Microsoft的Internet Explorer。
据Fox-IT专家称,这款MacOS恶意软件仍在开发或测试阶段,并未在外大肆散播。不过,这正表明Snake正准备攻击苹果用户,但这并不奇怪,毕竟MacBook在高管中的使用率相当高。
Fox-IT研究人员发现,Snake macOS样本伪装成Flash Player安装程序,其签名可能是盗用的经苹果审核通过的开发者证书。这类代码签名证书由苹果向开发项目的成员签发,并且是在官方Mac应用商店上发布应用程序所需的证书。
但重点是,带有苹果开发者证书签名的应用程序在安装过程中不会弹出任何安全提示,并且macOS Gatekeeper安全功能也不会阻止其进行安装。
无独有偶,一个多星期以前,Check Point软件技术公司的专家发现一款不同的MacOS恶意程序,这款恶意程序也带有被盗苹果证书的签名。
Fox-IT研究人员就该问题已经提醒苹果公司的安全团队,他们很可能会撤销证书。无论如何,考虑到Snake间谍组织的资源,或许他们会在不久的将来滥用另一个证书。
本文转自d1net(转载)
