近日,国外一家安全公司Palo Alto追踪到了一种新的Mac OS X 恶意木马病毒,这个恶意木马病毒利用俄罗斯太空计划做诱饵,在入侵装有Mac OS X 系统的电脑后,会自动保存一个声称与俄国太空计划有关的PDF文件,用户打开文件后就会中招。
|利用流氓杀毒软件漏洞进行攻击
安全专家这个恶意木马病毒命名为Komplex,一旦被感染,可以对其电脑进行病毒的下载与执行,并有删除Mac中任意文件的权限。
据Palo Alto介绍,Komplex木马病毒是一个通信工具包,攻击者通过这个工具包来接管攻击目标的电脑,以这样的方式,攻击者可以获取到攻击目标的系统版本、用户名、以及入侵时的运行列表数据,还可以接收指令,并将指令运行结果反馈给入侵者。Komplex木马病毒将主要通过apple-iclouds.net 和 itunes-helper.net两个网站进行传播,并与俄罗斯最近其它的网络攻击活动有关。
攻击进程主要分为三步:
1. 伪装成呈现俄罗斯联邦太空计划的PDF文件;
2. 通过添加自身的.plist文件到计算机启动程序获取电脑权限,然后下载Komplex有效荷载dropper;
3. 当互联网连接可用时,就开始服务器通信,收集受感染电脑中的信息发送给攻击者。
Komplex木马病毒主要利用了一款名为Mackeeper流氓杀毒软件上的漏洞。这个漏洞可以让使用该软件的电脑在访问特定网站时执行远程命令,如果装有这个软件的使用者一不小心打开了某个电子邮件中的恶意链接,就会立刻感染上病毒。
|与黑客组织Sofacy有关
Palo Alto经过分析后发现,Komplex木马病毒可能与俄罗斯的黑客组织Sofacy有关。原因是,Komplex木马病毒中的恶意编码与黑客组织Sofacy曾通过钓鱼邮件攻击美国政府的Carberp木马病毒相同,至少可以确定,Carberp木马病毒和Komplex木马病毒使用至少是同一个设计框架。
Sofacy组织还有一些其他的名字或代号——Fancy Bear、APT28、Sednit、Pawn Storm、Strontium。被评价为当今最活跃的黑客组织之一。该组织主要利用鱼叉式钓鱼的攻击方式行入侵攻击,然后利用恶意软件通过系统中的命令和控制框架来获取目标设备的控制权。据了解,Sofacy不仅是2015年夏季攻击美国民主党全国委员会的组织之一,同时也是近期世界反兴奋剂机构(WADA)数据泄露的幕后黑手。
鱼叉式网络钓鱼(Spear phishing)指一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击。这种攻击方法的成功率很高,也非常常见。
在进行攻击时,会诱导目标设备感染恶意木马病毒。方式有:点击链接、打开表格或者连接其他一些文件。
一次简单的点击相当于为攻击者开启了一扇电子门,这样攻击者就可以接触到你的内部弱点了,然后进行信息挖掘和连接授权。
|Sofacy专从事网络间谍活动
Sofacy的攻击目标包括东欧政府以及军队 、格鲁吉亚和高加索地区,与安全有关的组织如北约、美国国防承包商Academi、国际科学应用公司(SAIC)。
该组织最早在2014年时由趋势科技发现。把他们命名为Sofacy是因为,这个组织常用两个或多个工具或策略来对特定的攻击目标进行攻击,非常像国际象棋中的攻击策略。这种攻击策略最著名的行动是“兵风暴”,趋势科技称,“兵风暴行动”是一场由俄罗斯政府支持的黑客组织进行的网络间谍活动。
Palo Alto说,目前为止,已知Komplex木马有三个版本:分别可用来攻击x64架构、x86架构以及x64和x86架构,但不知道有多少人感染了Komplex木马病毒。