E安全9月27日讯，安全研究人员发现新型Mac OS X木马“Komplex”，研究人员称该木马与网络间谍组织Sofacy有关。

研究人员表示，直到目前才发现该恶意软件的有效荷载，但还未发现任何受感染的受害者。尽管如此，他们称基于行动期间使用的文档，该木马样本似乎定制用来针对航空和航天工业的个体。

检测到该木马的Palo Alto Networks公司称，到目前为止，已知该木马有三个版本：分别可用来攻击x64架构、x86架构以及x64和x86架构。

Komplex利用MacKeeper漏洞攻击目标

安全专家称，该木马的第一阶段组件利用MacKeeper Mac杀毒应用程序中的漏洞在Mac计算机上驻足。

从他们分析的样本来看，研究人员表示，第一阶段组件伪装成呈现俄罗斯联邦太空计划的PDF文件。

第一阶段组件通过添加自身的.plist文件到计算机启动程序获取boot持久性，然后下载所谓的Komplex有效荷载dropper。

第二阶段组件收集系统数据，且只有当互联网连接可用时，才会开始与C&C服务器通信，发送受感染主机有关详情。

Komplex具有基本但具入侵性的功能

C&C服务器将决定要发送的其它Komplex模块。研究人表示，他们识别出了模块—允许Sofacy操作员在受感染主机上下载文件、收集和窃取数据或执行命令。

Palo Alto称，Komplex木马与BAE Systems在2015年6月发现的木马一致。另外，基于该木马的操作模式以及源代码结构，他们认为Komplex是5月底部署攻击美国政府官员的Carberp Windows木马的Mac端口。

Sofacy组织也被称为Fancy Bear、APT28、Sednit、Pawn Storm或Strontium，是当今最活跃的网络组织之一。APT28被认为是2015年夏季攻击美国民主党全国委员会的组织之一，同时也是近期世界反兴奋剂机构（WADA）数据泄露的幕后黑手。

E安全注：本文系E安全独家编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。