政、企机构应警惕!俄罗斯恶意软件Snake盯上Mac用户
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月9日讯 据报道,俄罗斯网络间谍组织Snake最近将Windows后门程序移植到了MacOS。
Snake网络间谍组织自2007年以来一直活跃。关于该组织,安全专家熟知的名字有Snake、Turla和Uroburos。据研究人员表示,Snake使用的恶意软件与目前为止几起最复杂的网络间谍攻击有关。这些恶意软件主要针对军事组织、政府实体、大使馆、情报机构、大型公司以及研究和学术机构展开攻击。
荷兰网络安全公司Fox-IT指出,与其它俄罗斯多产攻击者(例如APT28和APT29)相比, Snake的代码和基础设施更为复杂,且针对的目标经过精心挑选。
Snake网络间谍组织通常会针对Windows用户,其恶意软件框架最开始为Windows平台创建。直到2014年,卡巴斯基实验室的安全专家发现一个与Snake工具包相关的Linux组件,这表明这个网络间谍组织正将活动扩大到其它平台。
目前,Snake似乎对Mac用户颇感兴趣。
不久前, Fox-IT公司的安全研究人员发现MacOS版本的Snake恶意软件工具,这款工具是Windows版本的直接端口,因为它的开发文档(Artefact)仍在代码中提及Microsoft的Internet Explorer。
据Fox-IT专家称,这款MacOS恶意软件仍在开发或测试阶段,并未在外大肆散播。不过,这正表明Snake正准备攻击苹果用户,但这并不奇怪,毕竟MacBook在高管中的使用率相当高。
苹果公司证书签名问题突出
Fox-IT研究人员发现,Snake macOS样本伪装成Flash Player安装程序,封装在一个ZIP压缩文件中,文件名为“Install Adobe Flash Player.app.zip”。运行后,安装程序将改为“Addy Symonds”签名而不是Adobe。该签名可能是盗用的经苹果审核通过的开发者证书。这类代码签名证书由苹果向开发项目的成员签发,并且是在官方Mac应用商店上发布应用程序所需的证书。
但重点是,带有苹果开发者证书签名的应用程序在安装过程中不会弹出任何安全提示,并且macOS Gatekeeper安全功能也不会阻止其进行安装。
无独有偶,一个多星期以前,Check Point软件技术公司的专家发现一款不同的MacOS恶意程序,这款恶意程序也带有被盗苹果证书的签名。
Fox-IT研究人员就该问题已经提醒苹果公司的安全团队,他们很可能会撤销证书。无论如何,考虑到Snake间谍组织的资源,或许他们会在不久的将来滥用另一个证书。
如果系统Gatekeeper被设置成允许未签名App安装,那么用户将会被要求输入管理员密码,这与Adobe的Flash安装程序一样。而该恶意软件的外观也设计得与Flash安装器很像。一旦用户安装该恶意软件,很有可能会给攻击者打开系统后门,用户密码和未加密文件也会暴露。
E安全小编建议用户尽量通过正规渠道下载Flash播放器,另外也要注意不要下载甚至安装邮件附件中的Flash安装器。
E安全要闻简讯
官网:
2017年5月