FinSpy 发布 Mac 和 Linux OS 版本攻击埃及组织机构

FinSpy 由一家德国公司开发，是一款极其强大的间谍软件，不仅当作合法的执法工具出售给全球各地政府部门，而且还被滥用于监控活动家。

FinSpy 也被称为“FinFisher”，可被滥用于攻击桌面和移动操作系统，包括 Android、iOS、Windows、macOS 和 Linux，获得监控能力如秘密打开网络摄像头和麦克风、录制受害者在键盘上键入的任意内容、拦截通话和提取数据。

国际特赦组织指出，这起新发现的攻击活动和“NilePhish”黑客组织之间并不存在关联。后者因对埃及非政府组织发动一系列的攻击而为人所知，攻击中牵涉滥用 FinSpy 的老旧版本、发动钓鱼攻击和下载恶意 Flash Player。

而这次发现的 FinSpy Linux 和 macOS 版本和安卓及 Windows 版本一致，均遭一个未知名的新型黑客组织滥用。研究人员认为该黑客组织受国家支持，且最早活跃于2019年9月。国际特赦组织发现从 VirusTotal 中发现了新的恶意软件样本，并借此追踪和监控 NilePhish 组织的活动。这些二进制经过混淆处理，当发现自己在虚拟机上运行时就会停止恶意活动，导致安全专家难以分析。另外，即使目标智能手机并未遭 root，该间谍软件也尝试利用之前披露的 exploit 获得 root 访问权限。

研究人员表示，“Linux 样本中的模块和 MacOS 样本几乎一模一样。这些模块通过 AES 算法加密，并以aplib 压缩库形式压缩。该 AES 密钥虽然存储在二进制中，但 IV 和最终的解压文件的 MD5 哈希一起存储在每个配置文件中。该恶意软件使用 HTTP POST 请求和 C&C 服务器通信。发送给服务器的数据使用 7F 模块提供的函数进行加密，通过一个自定义压缩器压缩并通过 base64 编码。”

同时，研究人员还提供了 IoC，帮助研究人员进一步调查这些攻击活动，帮助用户检查自己的机器是否遭攻陷。

去年，卡巴斯基公司的安全研究员披露了当时还是新出现的 FinSpy 植入（iOS 和安卓版本）的类似的网络间谍活动，当时的攻击目标是缅甸用户。

https://thehackernews.com/2020/09/finspy-malware-macos-linux.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

    觉得不错，就点个 “在看” 吧~