安全专家新发现一款Mac OS X木马Komplex,它与网络间谍组织Sofacy密切相关。
研究人员表示该恶意软件还未感染用户。但是根据文档诱饵,这款木马样本似乎已经锁定了一些从事航天事业的人员。
检测到Komplex的Palo Alto网络公司表示该木马迄今为止有三个已知版本。其中一个版本针对x64体系结构,一个版本针对x86体系结构,还有一个对两种体系机构都适用。
Komplex使用MacKeeper的漏洞进行攻击
安全人员表示木马的一级组件利用MacKeeper Mac杀毒应用程序中的一个漏洞在Mac电脑上生存。
从分析的样本来看,研究人员发现第一级组件伪装成有关俄罗斯联邦航天计划详细信息的PDF文件。
一级组件在电脑启动程序中添加.plist文件,随后下载所谓的Komplex 有效负载dropper。
二级组件负责收集系统的数据,只要电脑是联网的,它会和C&C服务器通信,将感染主机的信息发送出去。
Palo Alto表示木马Komplex与BAE公司2015年6月发现的是同一个木马。另外,根据木马的操作模式和源代码结构,Komplex是五月底针对美国政府官员的Windows木马Carberp的Mac移植。
Sofacy团队,也称为Fancy Bear、 APT28、Sednit、Pawn Storm、Strontium,是当今最活跃的网络间谍组织之一。APT28是2015年夏天攻击DNC的组织之一,以及近期反兴奋剂机构数据泄露事件的。
长按二维码,关注“代码卫士”
您的专属代码体检专家