根據趨勢科技之前的研究顯示,目標攻擊所產生的後續行為會跟作業系統有關,而最近我們又看到有惡意檔案會以Mac OSX作為目標。這個被偵測為TROJ_MDROPR.LB的惡意軟體是一支木馬,被用在對西藏的目標攻擊活動裡,最初是由Alienvault所提報的。
在調查該活動時,趨勢科技發現被用在這次特定攻擊裡的C&C伺服器,跟最近所看到被用在一系列對西藏目標攻擊裡的Gh0stRat所用的C&C伺服器之一是同一個。
下面是一封包含惡意DOC檔案的電子郵件,它會產生Gh0stRat並且連到上述的C&C伺服器:
再回頭看TROJ_MDROPR.LB,趨勢科技發現關於一個被用在這次攻擊的特定惡意文件的詳細資訊:
其中一個TROJ_MDROPR.LB進行的行為是會產生並打開非惡意的DOC檔案,好欺騙使用者以為自己打開的是一個正常檔案。
目標攻擊手法出現這樣的發展,表示這些攻擊活動背後的團體也會將整個電腦環境變化放入考慮,比方說目前Mac使用者數量的增加。調整手段以攻擊Mac也代表他們正在改進原有的範圍,並且可以客製化工具來配合他們的目標。
有鑑於此,在加上MAC OSX的確因為其數量的成長,也相對帶來威脅的成長。所以要知道MAC OSX也有可能成為目標,而且這些目標攻擊和APT背後的團體也的確將這些新領域加入他們的目標。
我們會持續對此進行調查。敬請保持關注。
更新
由TROJ_MDROPR.LB產生的後門程式被趨勢科技偵測為OSX_KONTROL.EVL。
另一個被TROJ_MDROPR.LB產生的檔案被偵測為OSX_KONTROL.HVN。
@原文出處:Game Change: Mac Users Now Also Susceptible to Targeted Attacks
作者:Ivan Macalintal (威脅研究經理)
@延伸閱讀
APTs Target Mac Users
近年惡名昭彰的Mac威脅
如何打擊假防毒軟體來保護你的Mac
搜尋 Google圖片竟被導入惡意網頁, Mac 用戶也受駭
假防毒軟體在 Mac OS X 作業系統上的感染過程
利用 iOS 漏洞的 iPhone 線上破解
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕
《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件
《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
�
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
- PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎ 歡迎加入趨勢科技社群網站
