Jakiś czas temu znaleźliśmy dowód potencjalnego związku między backdoorem dla systemu Mac OS X a atakiem APT (złożonym, długotrwałym zagrożeniem skierowanym przeciwko konkretnym użytkownikom) znanym jako LuckyCat. Adres IP serwera kontroli (C&C), z którym łączy się bot (199.192.152.*), został wykorzystany również w innych próbkach szkodliwego oprogramowania dla systemu Windows w 2011 roku, co pozwoliło nam założyć, że za tymi atakami stoi ten sam sprawca.

Przez dwa dni monitorowaliśmy „podstawiony” zainfekowany system – co jest typową procedurą stosowaną w przypadku botów APT. Byliśmy bardzo zaskoczeni, gdy w weekend kontrolery APT przejęły kontrolę nad naszą zainfekowaną maszyną i zaczęły ją analizować.

W piątek 13 kwietnia zamknięto port 80 na serwerze C&C zlokalizowanym pod adresem rt*****.onedumb.com i hostowanym na VPS (virtual private server) w Fremont, w Stanach Zjednoczonych. W sobotę port ten został otwarty i bot zaczął komunikować się z serwerem C&C. Przez cały dzień ruch składał się z podstawowych potwierdzeń (handshakes) i wymian.

15 kwietnia, w niedzielę rano, ruch generowany przez centrum C&C, zmienił się. Osoby atakujące przejęły połączenie i zaczęły analizować naszą podstawioną zainfekowaną maszynę. Wyszczególniły zawartość foldera root i foldera głównego, a nawet ukradły kilka dokumentów, które tam umieściliśmy!

Mamy dużą pewność, że działanie bota było wykonywane ręcznie, co oznacza rzeczywistą osobę atakującą, która ręcznie sprawdza zainfekowane maszyny i wydobywa z nich dane.

W związku z tym możemy potwierdzić, że SabPub to aktywne zagrożenie APT

W sobotę domena C&C została zamknięta, a bot stracił z nią połączenie; wygląda to na inicjatywę ze strony darmowego serwisu DSN onedumb.com wywołaną prawdopodobnie zainteresowaniem mediów tą sprawą. Co ciekawe, VPS wykorzystywany jako C&C nadal jest aktywny.

Podczas analizowania SabPuba odkryliśmy kolejną wersję backdoora, która wygląda na stworzoną wcześniej. Wersja ta różni się od oryginalnej tylko nieznacznie – inny jest zakodowany na sztywno adres C&C – zamiast subdomeny onedumb.com wykorzystywanej przez oryginalną próbkę (zakodowanej w bocie jako “e3SCNUA2Om97ZXJ1fGI+Y4Bt”) wersja ta zawiera po prostu adres IP VPS-a (zakodowany na sztywno jako „OjlDLjw5Pi4+NUAuQDBA”), co oznacza, że nadal powinna działać. Jej rozmiar wynosi 42556 bajtów (rozmiar oryginału to 42580 bajtów).

Jedną z największych tajemnic stanowi wektor infekcji takich ataków. Zważywszy że ataki te są wysoce ukierunkowane, istnieje bardzo mało śladów. Mimo to znaleźliśmy istotny szczegół, który stanowi brakujące ogniwo: sześć dokumentów Microsoft Word, które wykrywamy jako Exploit.MSWord.CVE-2009-0563.a. W sumie mamy sześć dokumentów .docs z tym werdyktem, z czego cztery dostarczają bota MaControl. Pozostałe dwa dostarczają szkodnika SabPub.

Najbardziej interesująca jest tu historia drugiego warianta SabPuba. W naszej kolekcji wirusów nosi on nazwę “8958.doc”. To sugeruje, że został wydobyty z dokumentu Word lub był rozprzestrzeniany jako plik Doc.

Przeanalizowaliśmy go i prześledziliśmy jego pochodzenie za pomocą MD5 (40C8786A4887A763D8F3E5243724D1C9). Wyniki okazały się fascynujące:

• próbka została przesłana do VirusTotal 25 lutego 2012 r. – z dwóch źródeł w Stanach Zjednoczonych
• w obu przypadkach oryginalna nazwa pliku brzmiała “10th March Statemnet” (tak, z literówką i bez rozszerzenia)
• w tym czasie na VirusTotal nie odnotowano żadnych wykryć (0/40)

W celu rozwiania wątpliwości, warto wyjaśnić, że nazwa pliku („10th March Statemnet”) jest bezpośrednio związana z Dalajlamą i społecznością tybetańską. 10 marca 2011 r. Dalajlama wydał specjalne oświadczenie w związku z rocznicą dnia narodowego powstania Tybetańczyków – stąd ta nazwa.

Niestety, pliki doc zawierają niewiele informacji, ale pole Autor i data utworzenia są interesujące. Jeżeli uznamy datę utworzenia za wiarygodną, będzie to oznaczało, że pojemnik DOC został utworzony w sierpniu 2010 r. oraz uaktualniony w 2012 r. przy użyciu próbki SabPub. Jest to zupełnie normalne w przypadku takich ataków, przykładem może być Duqu.

Uważamy, że powyższe fakty wskazują na bezpośredni związek między SabPubem a atakami APT Luckycat. Jesteśmy prawie pewni, że backdoor SabPub został stworzony już w lutym 2012 r. i był rozprzestrzeniany za pośrednictwem wiadomości typu “spear-phishing”

Warto również zaznaczyć, że SabPub nie jest backdoorem MaControl, chociaż wykorzystuje te same tematy w celu nakłonienia ofiar do otworzenia go. SabPub był skuteczniejszym atakiem, ponieważ przez prawie dwa miesiące pozostawał niewykryty!

Drugi wariant SabPuba został stworzony w marcu, a osoby atakujące wykorzystują exploity Javy w celu zainfekowania atakowanych maszyn działających pod kontrolą Mac OS X.

SabPub nadal stanowi aktywny atak i spodziewamy się, że osoby atakujące opublikują nowe warianty bota z nowymi C2 w ciągu kolejnych dni/tygodni.

Podsumowując:

• obecnie istnieją przynajmniej dwa warianty bota SabPub.
• najwcześniejsza wersja botu najprawdopodobniej została stworzona i wykorzystywana w lutym 2012 r.
• szkodnik rozprzestrzenia się za pośrednictwem dokumentów Worda, które wykorzystują lukę CVE-2009-0563.
• SabPub różni się od MaControl, innego bota wykorzystywanego w atakach APT w lutym 2012 r.; SabPub był bardziej skuteczny, ponieważ pozostał niewykryty przez ponad 1,5 miesięcy.
• w momencie pisanie tego tekstu atak APT wykorzystujący SabPuba był aktywny.

* Podziękowania dla Aleksa Gostewa i Igora Soumenkowa za analizę.