WindShift APT

Mac 電腦不會感染病毒的神話只是：一個神話。現實情況是，Mac 病毒並不常見。它們仍然存在，但黑客組織並沒有將創建它們作為優先事項。不過，每隔一段時間，就會出現像 WindShift 這樣的團隊。

WindShift 被認為是 APT（高級持續威脅）。這些是安全研究人員了解和跟踪的群體。 APT 的基礎設施、工具和目標通常是眾所周知的，因為它們受到瞭如此密切的審查。有些團體更加隱秘，能夠安靜地運作而不會被追踪。更難關注這些群體。 WindShift 就是其中之一，據研究人員稱，它最早於 2017 年開始運作。

WindShift APT 主要專注於偵察行動。該組織與政府和組織等大目標進行了接觸，但似乎也追求提前選擇的特定目標。他們的目標的有趣之處在於它們似乎完全不相關。網絡安全研究人員尚未找到目標之間的單一連接鏈接。 WindShift 也採用與其他組不同的方法。該組織不像其他組織那樣嚴重依賴惡意軟件和勒索軟件來獲取他們所追求的信息。相反，這個 APT 使用複雜的社會工程來巧妙地從目標中獲取數據。大多數目標甚至都沒有意識到有什麼不對，直到為時已晚。

正是由於這種對隱身的依賴，該組織才能在不被發現的情況下長時間開展行動。眾所周知，WindShift 活動一次持續數月。專家建議，在該組織開始任何實際的黑客行動之前，已經觀察到 WindShift 命中的一些目標數月之久。 WindShift 通過使用虛假社交媒體賬戶、與目標就相關主題進行討論以及通過虛假出版物創建引人入勝的內容來實現這一目標。他們與目標建立聯繫以贏得信任並使實際的攻擊階段變得更容易。

該小組還使用一系列分析工具來研究和觀察個人，包括他們的瀏覽習慣和興趣。他們可以利用這些信息來推進他們的社會工程活動並獲得更多的知識。 WindShift 使用了他們自己製作的公開可用的工具和實用程序。該組織收集有關其目標喜歡的事物的信息的一種方法是向他們發送指向合法網頁的鏈接。

一旦他們有足夠的信息可以使用，黑客將嘗試從目標獲取登錄憑據。該組織使用 Apple iCloud 和 Gmail 等工具從其目標獲取憑據。該小組向他們的目標發送一條消息，提醒他們需要重置密碼。目標被發送到一個看似合法的頁面，但卻是一個旨在竊取信息的欺騙性恢復頁面。如果目標沒有中招，那麼 WindShift 就會繼續使用黑客工具來獲取他們想要的信息。

除了使用公開可用的工具之外，Windshift 還創建了幾個自定義黑客工具和威脅，例如：

• WindDrop – 專為 Windows 系統設計的木馬下載器，於 2018 年首次被發現。
• WindTail – 一種專為 OSX 系統設計的惡意軟件，它收集特定文件類型或具有符合其標準的特定名稱的文件。它還能夠在受感染的系統上植入額外的惡意軟件。
• WindTape – 專為 OSX 系統設計的後門木馬，能夠截取屏幕截圖。

這些工具具有一些高級功能，例如能夠操縱 DNS 設置並將用戶發送到不同的網頁。 WindShift 可以控制受感染系統的互聯網連接，並將其發送到其他網站。這些網站的設計看起來就像真實的東西，用於從目標獲取登錄憑據和附加信息。

WindShift APT 無疑是周圍比較不尋常的黑客組織之一。該組織對目標和攻擊的方法與其他已知的 APT 不同。該組織嚴重依賴社會工程學，主要針對 Mac 電腦。這就是使它們在黑客世界中如此神秘的原因。安全研究人員仍在嘗試制定他們的操作程序和動機。儘管如此，該小組確實證明了您的 Mac 並不像您想像的那樣對病毒具有免疫力。