最近，Palo Alto公司安全研究人员发现俄罗斯APT黑客组织——“奇异熊”（Fancy Bear ）正在使用一种新型Mac OS X木马针对航天航空业的公司发起攻击。

主导性的观点认为，Fancy Bear是一个俄罗斯间谍情报组织又名Tsar Team（APT28），该组织主要针对美国、西欧、巴西、中国、伊朗和许多其他国家的国防部门和军方官员进行情报间谍活动。很多政府机构、非盈利组织和公司数据泄密的事件都和他们有关系。

7月份，希拉里团队电脑系统被黑，2万多封美民主党绝密邮件泄露，当局就怀疑是由一队受俄罗斯军方总参谋部情报总局(GRU)支持、代号Fancy Bear的黑客组织所为；9月，Fancy Bear又入侵了世界反兴奋剂机构(WADA)数据库，并在网上公开包括美国网球运动员威廉姆斯姐妹、体操名将拜尔斯等人的保密医疗档案。去年该组织还入侵了德国联邦议院和法国TV5 Monde TV等。

当然，对于此事俄罗斯政府是坚决否认的，他们表示Fancy Bear自己都说了全美第一黑客组织Anonymous旗下的，该组织的口号与匿名者黑客组织的口号相同，即我们是匿名者，我们是军团，我们不会原谅，我们不会忘记，期待我们。

但是，暗中调查Fancy Bear的Crowdstrike安全公司却斩钉截铁地说：Fancy Bear绝对是俄罗斯网络间谍组织。Crowdstrike首席技术人员Dmitri Alperovitch说：“我们有很大的把握可以证明，Fancy Bear是俄罗斯情报组织，它应该隶属于俄罗斯军方情报机构GRU。”

过去几周里，我们已经对关于美国民主党全国委员会（DNC）的攻击事件进行了很多讨论，安全专家也收集到了一支俄罗斯政府支持的黑客组织的参与证据。

特别是，威胁情报公司ThreatConnect的安全专家，已经对美国联邦调查局于8月份发表的一份警报中的IP地址进行了分析，结果表明，针对选举系统发起的两次网络攻击来自美国两个州。

ThreatConnect的安全专家发现，这一事件与一个俄罗斯间谍组织（据称与莫斯科政府有关）间存在一些关联。承载钓鱼信息的其中一个域名，其注册所使用电子邮件地址与臭名昭著的APT28group（APT28集团）所使用的域名间存在关联。

“奇异熊”（FancyBear）又来袭了

现在，“奇异熊”（FancyBear）又一次成为了新闻头条，根据Palo Alto公司的恶意软件研究报告指出，这一可怕的组织正是运用一种新型木马攻击Mac OS X设备的幕后黑手。

据Palo Alto公司安全研究人员RyanOlson所言，“奇异熊”（Fancy Bear）曾使用Komplex木马对航天航空业公司实施攻击，而这些企业都有使用MacKeeper杀毒软件。

Palo Alto研究人员称该木马与网络间谍组织Sofacy（也称为APT28，PawnStorm，Fancy Bear以及Sednit）有关。

研究人员表示，直到目前才发现该恶意软件的有效荷载，但还未发现任何受感染的受害者。尽管如此，他们称基于行动期间使用的文档，该木马样本似乎定制用来针对航空和航天工业的个体。

Palo Alto 公司称，到目前为止，已知该木马有三个版本：分别可用来攻击x64架构、x86架构以及x64和x86架构。

安全专家称，该木马的第一阶段组件利用MacKeeper Mac杀毒应用程序中的漏洞在Mac计算机上停留。

从他们分析的样本来看，研究人员表示，第一阶段组件伪装成呈现俄罗斯联邦太空计划的PDF文件。第一阶段组件通过添加自身的.plist文件到计算机启动程序获取boot持久性，然后下载所谓的Komplex有效荷载dropper。

第二阶段组件收集系统数据，且只有当互联网连接可用时，才会开始与C&C服务器通信，发送受感染主机有关详情。

C&C服务器将决定要发送的其它Komplex模块。研究人表示，他们识别出了模块—允许Sofacy操作员在受感染主机上下载文件、收集和窃取数据或执行命令。

Palo Alto称，Komplex木马与BAE Systems在2015年6月发现的木马一致。另外，基于该木马的操作模式以及源代码结构，他们认为Komplex是5月底部署攻击美国政府官员的Carberp Windows木马的Mac端口。

国外某网站发布了28个黑客组织排名（FancyBear组织位居22名）