最新Mac OS X后门程序为部分APT攻击

近日,卡巴斯基实验室的安全专家截获到一波针对Mac OS X平台的最新攻击,攻击目标为一些民族激进主义分子。这次攻击是一次高级可持续性威胁(APT)攻击活动的一部分。

据称,这些民族激进主义分子所用的计算机为Mac计算机。攻击者向这些人发送定制的电子邮件,其中包含ZIP文件附件,而这款最新的Mac OS X后门程序就隐藏于附件中。为了更好的隐藏恶意软件,ZIP文件中还包含一个图片文件。

卡巴斯基实验室的研究人员对这款Mac OS X后门程序进行了分析,认为这款恶意程序是一种最新的还未被检测到的MaControl后门程序变种。该后门程序同时支持i386和PowerPC架构的 Mac计算机。卡巴斯基实验室的反病毒产品将该变种检测为“Backdoor.OSX.MaControl.b”。

执行后,MaControl后门程序会将自身安装到受感染Mac计算机上,并连接命令控制(C&C)服务器获取指令。一旦感染,操作者可以任意操控受感染计算机,包括列出文件列表、传输文件以及在受感染计算机上执行命令。分析过程中,卡巴斯基实验室还锁定其命令控制服务器的地址位置位于中国。

卡巴斯基实验室全球研究和分析团队总监CostinRaiu介绍说:“Mac计算机的使用越来越普遍,而且很多名人都选择使用Mac OS X计算机,因为他们认为Mac计算机更安全一些。但是,随着Mac OS X系统的普及率逐渐提高,针对这一平台的恶意威胁和攻击数量同样会增长。攻击者会不断改进和增强他们的攻击手段,将漏洞利用程序同社交工程技术结合起来,更为有效的感染用户。同PC恶意软件一样,通过将不同的攻击手段结合,从而达到较高的攻击效果。网络罪犯将不断挑战Mac OS X用户的安全,不管是从技术上还是心理上。”

这并不是卡巴斯基实验室发现的首例针对Mac OS X用户的高级可持续性威胁攻击。2012年4月,卡巴斯基实验室的研究人员就发布了关于SabPub这一活动的高级可持续性攻击行为。这款恶意软件能够利用MS Office漏洞,对Mac OS X平台发动攻击。一旦该后门程序感染计算机,就能够截取用户当前会话屏幕,并在受感染计算机上执行命令。

此外,还有臭名卓著的Flashfake木马。通过感染Mac计算机,Flashfake创建了一个包含超过70万台计算机的僵尸网络,是 Mac OS X平台被感染的一个最典型的案例。目前,网络罪犯针对这一平台的攻击仍在继续,而且主要集中在针对性攻击行为中。几天前,苹果公司从其网站上撤下了一条标语,这条标语的内容是“基于Windows的计算机容易遭受各种病毒侵害,而Mac计算机则不会。”

由于网络罪犯正在不断采用各种攻击手段和技术发起攻击,使得Mac OS X平台的安全状况在2012年仍将发生变化。目前,卡巴斯基Mac反病毒软件已经能够查杀最新的Backdoor.OSX.MaControl.b后门程序。