安全公司 Proofpoint 对最近一起针对美国一家智库的核安全专家的攻击进行了调查，揭示了资源丰富的攻击者如何迅速改变花招以攻击不同的机器。

　　在意识到最初的攻击载荷无法在 Mac 上奏效后，威胁分子迅速转而采用已知攻击使用苹果硬件的目标奏效的新技术。

　　在这起复杂的行动中，技术娴熟的威胁分子针对一个重要目标设计了一条看似无害的电子邮件链，并在数周内保持联络，以建立信任和融洽关系，然后趁机发动进一步的攻击。

　　这伙以从事间谍活动出名的攻击者利用多角色手法，向目标发送了一条电子邮件链，似乎要求收件人就一个名为 全球安全背景下的伊朗 项目给予反馈。

　　攻击者从不同的账户发送了多封邮件，所有邮件都相互引用参照，以营造一种真实感——这是在以前的电子邮件劫持活动中看到的一种技术。

　　在一次看似无害的交互之后，恶意的 Google Script 宏被投递，旨在将目标引到 Dropbox URL。这个 URL 托管了一个由密码加密的 .rar 文件，该文件含有一个伪装成 PDF 但实际上是 Windows LNK 文件的释放器（dropper）。

　　自去年微软默认屏蔽 VBA 宏以来，使用 LNK 文件一直是网络攻击的标志。多年来，利用 VBA 宏一直是使用恶意制作的 Microsoft 365 文件安装恶意软件的首选方法。

　　RAR 中含有的 LNK 使用 PowerShell 从云托管提供商那里下载额外阶段的载荷。

　　然而，目标使用的是苹果电脑，这意味着投递的文件无法运行。它试图投递的文件是一个刚被识别出来的基于 PowerShell 的后门，名为 GorjolEcho。

　　一旦意识到 GorjolEcho 无法在 macOS 上运行，TA453 随即转向在稍后的日期重新启动攻击，使用可以在苹果硬件上运行的移植版后门。

　　攻击者继续与目标进行看似正常的电子邮件对话，大约在最初企图基于 Windows 进行攻击一周后，他们用移植到苹果系统的后门重新发起了攻击。

　　在这种情况下，恶意软件通过一个由密码保护的 ZIP 文件来投递，该文件伪装成 RUSI VPN 解决方案和共享驱动器。

　　在与威胁分子进行一番交互之后，用户会被说服打开该文件。然后，一系列 bash 脚本将安装名为 NokNok 的后门。

　　Proofpoint 判断，这是为了充当进一步指令的立足点，几乎可以肯定是 PowerShell 后门的移植版。

　　这起事件提醒人们，威胁分子的适应能力很强。在这个例子中，被发送的是 LNK 文件，而不是带有宏的 Microsoft Word 文档，并在机会出现时迅速移植到了 macOS。

　　尽管如此，据苹果管理专业公司 Jamf 声称，2022 年新的恶意软件感染数量有所下降。

　　Malwarebytes 在其 2023 年恶意软件现状报告中特别指出，虽然 Mac 恶意软件很少见，但确实存在。检测事件的机器中有 11% 被恶意软件感染。

　　他说： 今年上半年，我们看到威胁领域出现了一些值得注意的动向，表明针对苹果设备的攻击在强度和目的方面都在发生变化。

　　在此期间，我们看到了第一起专门针对 macOS 构建的勒索软件的真实例子。我们还看到了新的恶意软件在传播，它们可以追溯到政府撑腰的攻击者。它们使用了新颖的规避技术来避免检测，并绕过内置的平台保护措施潜伏下来。

　　Covington 还注意到针对苹果处理器的加密货币劫持威胁在增加，而且针对高风险个人（主要是政府和媒体业的那些人）的间谍软件持续演变，但他也赞扬了苹果解决活跃漏洞所做的行动。

　　Proofpoint 的研究证明了威胁分子的适应能力、他们响应环境变化的能力以及不断发展的威胁领域。

　　Proofpoint 的 Joshua Miller 说：TA453 能够并且愿意将资源投入到攻击目标的新工具，体现了与政府有关联的网络威胁持续存在。

　　威胁分子不断努力迭代其感染链以绕过安全控制措施，表明基于强大社区的防御对于挫败最先进的对手有多么重要。