知情不报?Apple公司的做法令人不解

知情不报?Apple公司的做法令人不解

在一个神秘的黑客组织攻击Mac用户四个月后,其MacOS恶意软件样本很少被杀毒服务提供商检测到。据悉,这些MacOS恶意软件的变体中的一种被认为与监视中东个人的APT组织——Windshift存在某种关联。据悉,Apple公司早已知情,却没有及时公布。

WindShift神秘黑客组织针对的中东地区政府部门和关键基础设施部门工作的特定人员。他们正在利用据信影响所有Apple Mac机型的弱点。这些被攻击的目标位于海湾合作委员会(GCC)地区,包括沙特阿拉伯、科威特、阿联酋、卡塔尔、巴林和阿曼。受害者被发送鱼叉式网络钓鱼电子邮件,其中包含黑客运行的网站的链接。一旦目标点击链接,攻击就会启动,其最终目的是下载被称为WindTale和WindTape的恶意软件。

神秘的Windshift APT组织

今年8月,网络安全公司Dark Matter的安全研究员Taha Karim在新加坡的Hack in the Box大会上介绍了WindShift APT,该威胁组织此前已经秘密运营了两年左右。他报告称攻击者已经找到了绕过所有原生macOS安全措施的方法。Windshift APT相比其他威胁组织有一些独特之处,使其能够脱颖而出:

1.该组很少用恶意软件感染其目标,而是依靠嵌入网络钓鱼电子邮件和短信中的链接来跟踪目标的位置、在线习惯和其他特征;

2.WindShift利用Mac恶意软件渗透用户的文档并截取其桌面截图;

3.其恶意软件变体的独特技术可绕过MacOS的安全防御。

知情不报?Apple公司的做法令人不解

WindShift使用自定义URL方案感染macOS系统的技术细节

MacOS恶意软件样本隐秘性十足

Mac安全专家Patrick Wardle发表了对Karim研究结果的分析,该分析在Hack in the Box大会上公布。VirusTotal当时的调查结果表明,只有Kaspersky和ZoneAlarm检测到了这些恶意软件。随后,Wardle又检测到另外四个恶意文件,其中三个此前未被任何防病毒服务提供商发现。

知情不报?Apple公司的做法令人不解

只有Kaspersky和ZoneAlarm检测到恶意软件

知情不报?Apple公司的做法令人不解

未被任何反病毒引擎标记为恶意

Apple未与AV(防病毒)社区共享恶意软件情报

知情不报?Apple公司的做法令人不解

对于Wardle来说,调查结果令人惊讶,因为Apple已经撤销了开发人员用于对其恶意软件进行数字签名的加密证书。

“事实上,所有恶意软件的签名证书都被撤销(CSSMERR_TP_CERT_REGUED),这意味着Apple知道这个证书,那么可以肯定的是,也必然知道该恶意软件。然而,大多数恶意软件样本却是由Zero防病毒引擎在VirusTotal上检测到的。这是否意味着Apple没有与AV社区共享有价值的恶意软件威胁,以及时保护用户?”Wardle认为答案也许是肯定的。

威胁行为者所使用恶意软件的C2服务器在Internet上不再可用,这意味着受感染的计算机没有被监视的危险。然而,自Wardle发表他的分析以来,恶意软件感染检测到的数量逐渐增加。

Apple公司没有与防病毒服务提供商共享恶意软件情报,以致未能及时检测令人不安。因为据报道Apple公司没有与防病毒提供商共享恶意软件样本的定义。事实上,这种共享机制是业界的标准做法,对跟踪APT组织非常重要。

“我认为,缺乏检测标志着安全人员不仅要在macOS上与新的APT恶意软件斗争,同时也要和Apple公司的傲慢进行对抗。此前,Apple公司已经这么做过了,这令人沮丧,”Wardle告知美国知名科技博客媒体——Ars Technica。ArsTechnica咨询Apple公司对此发表评论,但尚未得到任何回应。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/133740.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code