新型Mac OS X木马“Komplex”专攻航天航空工业 或与APT组织“Sofacy”有关 | E安全

2016-09-28 09:45:08来源:作者:E安全人点击

E安全9月27日讯,安全研究人员发现新型Mac OS X木马“Komplex”,研究人员称该木马与网络间谍组织Sofacy有关。

研究人员表示,直到目前才发现该恶意软件的有效荷载,但还未发现任何受感染的受害者。尽管如此,他们称基于行动期间使用的文档,该木马样本似乎定制用来针对航空和航天工业的个体。

检测到该木马的Palo Alto Networks公司称,到目前为止,已知该木马有三个版本:分别可用来攻击x64架构、x86架构以及x64和x86架构。

Komplex利用MacKeeper漏洞攻击目标

安全专家称,该木马的第一阶段组件利用MacKeeper Mac杀毒应用程序中的漏洞在Mac计算机上驻足。

从他们分析的样本来看,研究人员表示,第一阶段组件伪装成呈现俄罗斯联邦太空计划的PDF文件。

第一阶段组件通过添加自身的.plist文件到计算机启动程序获取boot持久性,然后下载所谓的Komplex有效荷载dropper。

第二阶段组件收集系统数据,且只有当互联网连接可用时,才会开始与C&C服务器通信,发送受感染主机有关详情。

Komplex具有基本但具入侵性的功能

C&C服务器将决定要发送的其它Komplex模块。研究人表示,他们识别出了模块—允许Sofacy操作员在受感染主机上下载文件、收集和窃取数据或执行命令。

Palo Alto称,Komplex木马与BAE Systems在2015年6月发现的木马一致。另外,基于该木马的操作模式以及源代码结构,他们认为Komplex是5月底部署攻击美国政府官员的Carberp Windows木马的Mac端口。

Sofacy组织也被称为Fancy Bear、APT28、Sednit、Pawn Storm或Strontium,是当今最活跃的网络组织之一。APT28被认为是2015年夏季攻击美国民主党全国委员会的组织之一,同时也是近期世界反兴奋剂机构(WADA)数据泄露的幕后黑手。

E安全注:本文系E安全独家编辑报道, 转载请联系授权 ,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

最新文章

123

最新摄影

微信扫一扫

第七城市微信公众平台