警惕！俄羅斯間諜組織Snake已將目標瞄準Mac用戶

E安全5月9日訊據報道，俄羅斯網路間諜組織Snake最近將Windows後門程序移植到了MacOS。

Snake網路間諜組織自2007年以來一直活躍。關於該組織，安全專家熟知的名字有Snake、Turla和Uroburos。據研究人員表示，Snake使用的惡意軟體與目前為止幾起最複雜的網路間諜攻擊有關。這些惡意軟體主要針對軍事組織、政府實體、大使館、情報機構、大型公司以及研究和學術機構展開攻擊。

荷蘭網路安全公司Fox-IT指出，與其它俄羅斯多產攻擊者（例如APT28和APT29）相比, Snake的代碼和基礎設施更為複雜，且針對的目標經過精心挑選。

Snake網路間諜組織通常會針對Windows用戶，其惡意軟體框架最開始為Windows平台創建。直到2014年，卡巴斯基實驗室的安全專家發現一個與Snake工具包相關的Linux組件，這表明這個網路間諜組織正將活動擴大到其它平台。

本文系E安全獨家編譯報道

目前，Snake似乎對Mac用戶頗感興趣。

不久前， Fox-IT公司的安全研究人員發現MacOS版本的Snake惡意軟體工具，這款工具是Windows版本的直接埠，因為它的開發文檔（Artefact）仍在代碼中提及Microsoft的Internet Explorer。

據Fox-IT專家稱，這款MacOS惡意軟體仍在開發或測試階段，並未在外大肆散播。不過，這正表明Snake正準備攻擊蘋果用戶，但這並不奇怪，畢竟MacBook在高管中的使用率相當高。

蘋果公司證書籤名問題突出

Fox-IT研究人員發現，Snake
macOS樣本偽裝成Flash Player安裝程序，封裝在一個ZIP壓縮文件中，文件名為「Install Adobe Flash
Player.app.zip」。運行後，安裝程序將改為「Addy
Symonds」簽名而不是Adobe。該簽名可能是盜用的經蘋果審核通過的開發者證書。這類代碼簽名證書由蘋果向開發項目的成員簽發，並且是在官方Mac應用商店上發布應用程序所需的證書。

但重點是，帶有蘋果開發者證書籤名的應用程序在安裝過程中不會彈出任何安全提示，並且macOS Gatekeeper安全功能也不會阻止其進行安裝。

無獨有偶，一個多星期以前，Check Point軟體技術公司的專家發現一款不同的MacOS惡意程序，這款惡意程序也帶有被盜蘋果證書的簽名。

Fox-IT研究人員就該問題已經提醒蘋果公司的安全團隊，他們很可能會撤銷證書。無論如何，考慮到Snake間諜組織的資源，或許他們會在不久的將來濫用另一個證書。

如果系統Gatekeeper被設置成允許未簽名App安裝，那麼用戶將會被要求輸入管理員密碼，這與Adobe的Flash安裝程序一樣。而該惡意軟體的外觀也設計得與Flash安裝器很像。一旦用戶安裝該惡意軟體，很有可能會給攻擊者打開系統後門，用戶密碼和未加密文件也會暴露。

E安全小編建議用戶盡量通過正規渠道下載Flash播放器，另外也要注意不要下載甚至安裝郵件附件中的Flash安裝器。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。