一群黑客曾是过去各种攻击的设计者 反对美国国防工业基地,以及该行业中的其他重要公司,最近开始使用包含后门程序的程序来使用OS X攻击系统。
FireEye安全研究人员已经在周四的博客上发表评论, 后门代码已移植到OS X 来自Windows后门程序,该后门程序已在过去几年中广泛用于针对性攻击,并且已在此过程中进行了多次更新。
该恶意程序的昵称为XSLCmd,它能够打开反向外壳进行文件控制和传输,以及在受感染的计算机上安装其他恶意程序。 OS X变体也可以注册 击键和屏幕截图, 根据FireEye研究人员的说法。
在Mac上安装后,此恶意软件会自动将其安装在»/ Library / Logs / clipped»和»HOME / Library / LaunchAgents / clipped«。 它还会创建com.apple.service.clipboardd.plist文件,以确保它在系统重新引导后运行。 该恶意软件包含的代码会检查OS X的版本,但不会检查OS X 10.8(Mountain Lion)以上的版本。 这表明版本10.8是编写该程序时的最新OS X版本,或者至少是用于其预定目的的最常用版本。
XSLCmd后门是由一个网络间谍组织创建并使用的, 至少从2009年开始运营 并被FireEye研究人员称为GREF。 “从历史上看,GREF领导了广泛的组织,包括美国国防工业基地(DIB),世界各地的电子和工程公司,以及基金会和其他非政府组织,特别是在亚洲有利益的组织。» 。
根据FireEye的说法:
OS X在企业中越来越受欢迎,没有经验的用户迅速适应新系统并发现它易于操作,即使是使用更强大功能的高科技用户以及执行人员[…]许多人也认为它是一个更强大的功能。安全的计算平台,这可能导致两个IT部门都感到自满。 实际上,尽管安全行业已开始为OS X系统提供更多产品,但是在企业环境中,与Windows同类产品相比,这些系统有时在法规和监控方面更少。
