WindShift APT

Mac 电脑不会感染病毒的神话只是：一个神话。现实情况是，Mac 病毒并不常见。它们仍然存在，但黑客组织并没有将创建它们作为优先事项。不过，每隔一段时间，就会出现像 WindShift 这样的团队。

WindShift 被认为是 APT（高级持续威胁）。这些是安全研究人员了解和跟踪的群体。 APT 的基础设施、工具和目标通常是众所周知的，因为它们受到了如此密切的审查。有些团体更加隐秘，能够安静地运作而不会被追踪。更难关注这些群体。 WindShift 就是其中之一，据研究人员称，它最早于 2017 年开始运作。

WindShift APT 主要专注于侦察行动。该组织与政府和组织等大目标进行了接触，但似乎也追求提前选择的特定目标。他们的目标的有趣之处在于它们似乎完全不相关。网络安全研究人员尚未找到目标之间的单一连接链接。 WindShift 也采用与其他组不同的方法。该组织不像其他组织那样严重依赖恶意软件和勒索软件来获取他们所追求的信息。相反，这个 APT 使用复杂的社会工程来巧妙地从目标中获取数据。大多数目标甚至都没有意识到有什么不对，直到为时已晚。

正是由于这种对隐身的依赖，该组织才能在不被发现的情况下长时间开展行动。众所周知，WindShift 活动一次持续数月。专家建议，在该组织开始任何实际的黑客行动之前，已经观察到 WindShift 命中的一些目标数月之久。 WindShift 通过使用虚假社交媒体账户、与目标就相关主题进行讨论以及通过虚假出版物创建引人入胜的内容来实现这一目标。他们与目标建立联系以赢得信任并使实际的攻击阶段变得更容易。

该小组还使用一系列分析工具来研究和观察个人，包括他们的浏览习惯和兴趣。他们可以利用这些信息来推进他们的社会工程活动并获得更多的知识。 WindShift 使用了他们自己制作的公开可用的工具和实用程序。该组织收集有关其目标喜欢的事物的信息的一种方法是向他们发送指向合法网页的链接。

一旦他们有足够的信息可以使用，黑客将尝试从目标获取登录凭据。该组织使用 Apple iCloud 和 Gmail 等工具从其目标获取凭据。该小组向他们的目标发送一条消息，提醒他们需要重置密码。目标被发送到一个看似合法的页面，但却是一个旨在窃取信息的欺骗性恢复页面。如果目标没有中招，那么 WindShift 就会继续使用黑客工具来获取他们想要的信息。

除了使用公开可用的工具之外，Windshift 还创建了几个自定义黑客工具和威胁，例如：

• WindDrop – 专为 Windows 系统设计的木马下载器，于 2018 年首次被发现。
• WindTail – 一种专为 OSX 系统设计的恶意软件，它收集特定文件类型或具有符合其标准的特定名称的文件。它还能够在受感染的系统上植入额外的恶意软件。
• WindTape – 专为 OSX 系统设计的后门木马，能够截取屏幕截图。

这些工具具有一些高级功能，例如能够操纵 DNS 设置并将用户发送到不同的网页。 WindShift 可以控制受感染系统的互联网连接，并将其发送到其他网站。这些网站的设计看起来就像真实的东西，用于从目标获取登录凭据和附加信息。

WindShift APT 无疑是周围比较不寻常的黑客组织之一。该组织对目标和攻击的方法与其他已知的 APT 不同。该组织严重依赖社会工程学，主要针对 Mac 电脑。这就是使它们在黑客世界中如此神秘的原因。安全研究人员仍在尝试制定他们的操作程序和动机。尽管如此，该小组确实证明了您的 Mac 并不像您想象的那样对病毒具有免疫力。