Amnesty International 的专家发现了针对埃及民间组织的监视活动，使用了新版本的 FinSpy恶意软件，新版 FinSpy 主要针对 Linux 和 macOS 系统。

FinSpy

Finisher 又名 FinFisher，是一种用于政府和执法机构的多平台监视软件，部分政府会利用它监视社会活动家和新闻工作者。自从 2011 年开始，已经在巴林、埃塞俄比亚、阿联酋等国家发现。

FinSpy 可以监视常见的操作系统，包括桌面端和移动端，包括 Android、iOS、Windows、macOS 和 Linux。将用户设备用作监视工具，隐蔽地开启摄像头和麦克风，监听通信并外泄存储在失陷主机上的数据。

发现缘起

新版本的 FinSpy 被一个未知的黑客组织使用。发现它时，研究人员正在调查名为 NilePhish 的黑客组织的攻击行动，该组织参与了针对埃及非盈利组织的攻击。

“在研究该小组的活动时，发现该组织通过一个伪造的 Adobe Flash Player 下载网站传播了 Windows 平台的 FinSpy 样本”，其分析报告中如是说。

样本特点

恶意样本使用了混淆，并且检查了运行环境是否在虚拟机中。第一阶段的恶意软件将会利用漏洞获得 root 权限，如果漏洞利用未能达成目标，将会要求用户授予 root 权限并安装下一阶段的程序。

下载而来、名为 PDF 的文件实际上是一个简短的 Shell 脚本，其中包含 32 位与 64 位的 Linux 二进制文件。释放文件到 /tmp/udev2 并执行这个 loader。与 Mac OS 平台上的 FinSpy 类似，Linux 上的 FinSpy 也使用 LLVM-Obfuscator 进行混淆处理。Linux 的样本和 MacOS 的样本几乎相同，AES 加密的初始化向量存储在核心模块的二进制文件中，而不是加密模块的文件中。

研究人员公布了相关技术细节，包括 IoC 指标，使用户能够确定是否遭受此类攻击。

参考来源

SecurityAffairs