作者：趋势科技威胁研究经理 Ivan Macalintal

根据趋势科技之前的研究显示，目标攻击所产生的后续行主要取决于操作系统，而最近我们发现已经有恶意程序以 Mac OS X 为目标。这个被命名为 TROJ_MDROPR.LB 的恶意软体是一种木马，主要用在有关政治话题的目标攻击活动中，最初是由 Alienvault 所上报的。

在调查该活动时，趋势科技发现，用在这次目标攻击活动中的命令与控制服务器，与之前介绍的一系列针对政治话题的目标攻击中 Gh0stRat 所用的是同一台服务器。

下面是一封包含恶意 Word 文档的电子邮件，文档会生成 Gh0stRat 并连接到上述命令与控制服务器：

仔细研究 TROJ_MDROPR.LB 后，趋势科技发现了一个被用在这次攻击活动中的恶意文件的详细信息：

其中，TROJ_MDROPR.LB 的一个行为是生成并打开恶意 Word 文档，好欺骗用户以为自己打开的是正常文档。

目标攻击手法中出现这样的情况，表示这些攻击活动背后的团体也会将整个电脑环境的变化加以考虑，例如目前 Mac 用户数量的增加。调整手段以攻击 Mac，代表着他们正在扩大原有的攻击范围，并且可以通过定制的工具配合自己实现目标。

有鉴于此，再加上 MAC OSX 用户的数量确实有大幅增长，因此需要面临的威胁也随之增多。要知道，MAC OS X 也有可能成为目标，而且这些目标攻击和 APT 背后的团体也确实希望将自己的目标扩展到更多操作系统环境中。

我们会持续对此事件进行调查。敬请保持关注。

更新

由 TROJ_MDROPR.LB 产生的后门程序被趋势科技命名为 OSX_KONTROL.EVL。

另一个由 TROJ_MDROPR.LB 生成的文件被命名为 OSX_KONTROL.HVN。