Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Nowy wariant backdoora dla MacOS X wykorzystany w atakach APT

Dodany 2 lipca 2012, 10:43 CEST
Tagi:

Dwa dni temu zidentyfikowaliśmy nową kampanię APT wykorzystującą nowy wariant backdoora dla systemu MacOS X atakujący aktywistów ujgurskich.

Zanim jednak wdamy się w szczegóły, proponujemy quiz:

- Dalajlama wchodzi do sklepu Apple’a. Dlaczego?

Jedna z możliwych odpowiedzi brzmi: „żeby kupić nowy MacBook Pro z wyświetlaczem Retina!” (sam z chęcią kupiłbym sobie taki, miałbym jednak problemy z uzasadnieniem tego zakupu w rodzinnym budżecie).

A tak zupełnie serio, watro wspomnieć, że Dalajlama jest znanym użytkownikiem Maka. Poniżej zdjęcie, które pokazuje Dalajlamę używającego Maka podczas wideokonferencji:

 

I jeszcze lepsze, na którym używa 17-calowego MacBooka Pro:

Prawdopodobnie nie jest żadną niespodzianką, że odnotowujemy wzrost liczby ataków APT na znane osoby używające komputery Mac.

27 czerwca zidentyfikowaliśmy nową falę ataków APT na określonych użytkowników Maków wśród aktywistów ujgurskich.

Wiadomości e-mail zawierają w załączniku plik skompresowany przy pomocy ZIP-a. Wewnątrz pliku ZIP znajduje się zdjęcie JPG oraz aplikacja dla systemu MacOS X:

Aplikacja ta to w rzeczywistości nowa, w większości niewykrywana wersja backdoora MaControl (Universal Binary), która działa zarówno na Makach z procesorem i386 jak i PowerPC. Wykrywamy tego szkodnika jako „Backdoor.OSX.MaControl.b”.
MD5 ( “matiriyal.app/Contents/MacOS/iCnat” ):
e88027e4bfc69b9d29caef6bae0238e8

Po wykonaniu backdoor instaluje się w systemie i łączy z serwerem kontroli w celu uzyskania instrukcji. Backdoor pozwala swojemu operatorowi wyszczególnić pliki, przesyłać pliki i, ogólnie, wykonywać polecenia na zainfekowanej maszynie.

Jak zwykle, niektóre komentarze i informacje o debugowaniu, mimo że są w języku angielskim, zawierają powszechne błędy:

  • “Recieve” zamiast “Receive”
  • “os verison” zamiast “os version”
  • “memery” zamiast “memory”
  • itd…

Backdoor jest dość elastyczny – jego serwery kontroli są przechowywane w bloku konfiguracyjnym, który został dołączony na końcu pliku, o rozmiarze 0x214 bajtów. Blok konfiguracyjny jest zaciemniony przy pomocy prostej operacji “substract 8”.

Po zdeszyfrowaniu, okazuje się, że serwer kontroli ma adres: 61.178.77.* i jest zlokalizowany w Chinach:

Biorąc pod uwagę wzrost popularności Maków i wykorzystywanie ich przez znane osobistości, spodziewamy się wzrostu liczby ataków APT na system MacOS X. We wcześniejszych atakach wykorzystywane były exploity dla aplikacji MS Office (Exploit.MSWord.CVE-2009-0563.a.); opisywany tutaj exploit wykorzystuje socjotechnikę w celu nakłonienia użytkownika do uruchomienia backdoora. Tak jak w przypadku szkodliwego oprogramowania dla komputerów PC, najskuteczniejszą metodą jest zazwyczaj połączenie exploitów oraz sztuczek socjotechnicznych; nie będzie niespodzianką, jeżeli wkrótce liczba takich ataków wzrośnie.

Aktualizacja [30 czerwca 2012 r.]: AlienVault opublikował opis windowsowego odpowiednika dla backdoora wykorzystanego w omawianym ataku. Analiza dostępna jest tutaj.