FinSpy 間諜軟件新變體以 Mac 和 Linux 用戶作為目標

FinSpy已經針對埃及的持不同政見者組織開展了新的活動-研究人員發現了針對macOS和Linux用戶的間諜軟件的新樣本。

FinSpy商業間諜軟件又回到了最近觀察到的針對埃及組織和維權人士的運動中。盡管該間諜軟件以前以Windows，iOS和Android用戶為目標，但研究人員已使用針對macOS和Linux用戶的新變體發現了這些活動。

根據Amnesty International的資料，FinSpy是一款功能完善的監視軟件套件，能夠攔截受害者的通訊，訪問私人數據以及錄制音頻和視頻，并發現了最新的變體。自2011年以來，全世界的執法部門和政府機構一直在使用它。

但是，研究人員最近發現了自2019年10月以來一直在競選活動中使用的前所未有的FinSpy示例。這些示例包括macOS的FinSpy變體“ Jabuka.app”和Linux的FinSpy變體“ PDF”。兩者都是星期五首次公開披露。

Amnesty’s的研究人員在周五的一份分析報告中說，“通過對這個最新變種的額外技術調查，大赦國際的安全實驗室還發現了用于Windows、Android的FinSpy的新樣本，以及之前未披露的Linux和MacOS電腦版本，這些新樣本被一個不明身份的行為者在網上曝光。”

FinSpy的過去

FinSpy自2011年就開始運營，但是近年來，研究人員發現了利用間諜軟件采取更多創新方法的活動。

2019年3月，Amnesty International發布了一份報告，分析了針對埃及人權捍衛者以及媒體和公民社會組織工作人員的網絡釣魚攻擊。這些攻擊由一個名為“ NilePhish”的組織進行，通過一個偽造的Adobe Flash Player下載網站分發了適用于Microsoft Windows的FinSpy示例。

卡巴斯基研究人員在2019年6月表示，他們在該公司的遙測中看到了間諜軟件的新實例，包括上個月在緬甸記錄的活動。根據卡巴斯基的說法，在過去的一年中，數十種獨特的移動設備已經使用經過改進的植入物進行了感染。這些較新的示例針對Android和iOS設備。

新樣品

本周發布的最新襲擊事件繼續針對埃及民間社會組織。研究人員表示，針對macOS的FinSpy示例“使用了相當復雜的鏈來感染系統，開發人員已采取措施使其分析復雜化。”

該示例的獨特之處在于，其所有二進制文件均由研究團隊于2013年開發的開源LLVM-obfuscator進行了混淆。但是，據Jamf的安全研究員Patrick Wardle稱，這種混淆很容易被繞開。

“好消息，這種混淆并沒有真正阻礙分析，”他在周末的詳細分析中說。“人們可以簡單地在反匯編器中滾動，也可以在調試器中在相關（未混淆）代碼上設置斷點。”

FinSpy MacOS安裝過程。圖片來源：Amnesty International

一旦下載，間諜軟件的第一階段將進行檢查以檢測其是否正在虛擬機（VM）中運行。否則，它會解密一個ZIP存檔，其中包含安裝程序和二進制文件以進行特權升級（包括一個利用macOS X中的錯誤的漏洞和另一個利用CVE-2015-5889的Python漏洞的漏洞，該漏洞存在于Apple OS X的remote_cmds組件中）10.11之前。

Amnesty International的研究人員說：“第一階段利用漏洞利用程序來獲取root用戶訪問權限。” “如果它們都不起作用，它將要求用戶授予root權限來啟動下一階段的安裝程序。”

同時，Linux有效負載與macOS版本非常相似，研究人員認為macOS版本暗示了潛在的共享代碼庫。但是，啟動器和感染鏈適用于Linux系統，從服務器獲取的“ PDF”文件是一個簡短的腳本，其中包含適用于32位和64位Linux的編碼二進制文件。

下載完成后，文件將解壓縮并執行安裝程序，安裝程序將在提取第一階段有效負載之前檢查系統是否不在虛擬機上。像其macOS版本一樣，Linux的FinSpy也使用LLVM-Obfuscator進行了模糊處理。

適用于macOS和Linux的惡意軟件變體包括大量具有按鍵記錄，計劃和屏幕記錄功能的模塊。他們還具有通過在Apple Main和Thunderbird上安裝惡意附件（將這些電子郵件發送給FinSpy進行收集）來竊取電子郵件的功能，以及收集有關Wi-Fi網絡信息的功能。

研究人員說：“用于Mac OS的FinSpy，以及類似的Linux同類產品，都采用模塊化設計。” “登錄的啟動器僅實例化核心組件dataPkg，該組件負責監視與命令和控制服務器（C＆C）的通信，并在需要時解密/啟動模塊。”