Przez dwa dni monitorowaliśmy „podstawiony” zainfekowany system – co jest typową procedurą stosowaną w przypadku botów APT. Byliśmy bardzo zaskoczeni, gdy w weekend kontrolery APT przejęły kontrolę nad naszą zainfekowaną maszyną i zaczęły ją analizować.
W piątek 13 kwietnia zamknięto port 80 na serwerze C&C zlokalizowanym pod adresem rt*****.onedumb.com i hostowanym na VPS (virtual private server) w Fremont, w Stanach Zjednoczonych. W sobotę port ten został otwarty i bot zaczął komunikować się z serwerem C&C. Przez cały dzień ruch składał się z podstawowych potwierdzeń (handshakes) i wymian.
15 kwietnia, w niedzielę rano, ruch generowany przez centrum C&C, zmienił się. Osoby atakujące przejęły połączenie i zaczęły analizować naszą podstawioną zainfekowaną maszynę. Wyszczególniły zawartość foldera root i foldera głównego, a nawet ukradły kilka dokumentów, które tam umieściliśmy!
Mamy dużą pewność, że działanie bota było wykonywane ręcznie, co oznacza rzeczywistą osobę atakującą, która ręcznie sprawdza zainfekowane maszyny i wydobywa z nich dane.
W związku z tym możemy potwierdzić, że SabPub to aktywne zagrożenie APT
W sobotę domena C&C została zamknięta, a bot stracił z nią połączenie; wygląda to na inicjatywę ze strony darmowego serwisu DSN onedumb.com wywołaną prawdopodobnie zainteresowaniem mediów tą sprawą. Co ciekawe, VPS wykorzystywany jako C&C nadal jest aktywny.
Podczas analizowania SabPuba odkryliśmy kolejną wersję backdoora, która wygląda na stworzoną wcześniej. Wersja ta różni się od oryginalnej tylko nieznacznie – inny jest zakodowany na sztywno adres C&C – zamiast subdomeny onedumb.com wykorzystywanej przez oryginalną próbkę (zakodowanej w bocie jako “e3SCNUA2Om97ZXJ1fGI+Y4Bt”) wersja ta zawiera po prostu adres IP VPS-a (zakodowany na sztywno jako „OjlDLjw5Pi4+NUAuQDBA”), co oznacza, że nadal powinna działać. Jej rozmiar wynosi 42556 bajtów (rozmiar oryginału to 42580 bajtów).
Jedną z największych tajemnic stanowi wektor infekcji takich ataków. Zważywszy że ataki te są wysoce ukierunkowane, istnieje bardzo mało śladów. Mimo to znaleźliśmy istotny szczegół, który stanowi brakujące ogniwo: sześć dokumentów Microsoft Word, które wykrywamy jako Exploit.MSWord.CVE-2009-0563.a. W sumie mamy sześć dokumentów .docs z tym werdyktem, z czego cztery dostarczają bota MaControl. Pozostałe dwa dostarczają szkodnika SabPub.
Najbardziej interesująca jest tu historia drugiego warianta SabPuba. W naszej kolekcji wirusów nosi on nazwę “8958.doc”. To sugeruje, że został wydobyty z dokumentu Word lub był rozprzestrzeniany jako plik Doc.
Przeanalizowaliśmy go i prześledziliśmy jego pochodzenie za pomocą MD5 (40C8786A4887A763D8F3E5243724D1C9). Wyniki okazały się fascynujące:
W celu rozwiania wątpliwości, warto wyjaśnić, że nazwa pliku („10th March Statemnet”) jest bezpośrednio związana z Dalajlamą i społecznością tybetańską. 10 marca 2011 r. Dalajlama wydał specjalne oświadczenie w związku z rocznicą dnia narodowego powstania Tybetańczyków – stąd ta nazwa.
Niestety, pliki doc zawierają niewiele informacji, ale pole Autor i data utworzenia są interesujące. Jeżeli uznamy datę utworzenia za wiarygodną, będzie to oznaczało, że pojemnik DOC został utworzony w sierpniu 2010 r. oraz uaktualniony w 2012 r. przy użyciu próbki SabPub. Jest to zupełnie normalne w przypadku takich ataków, przykładem może być Duqu.
Uważamy, że powyższe fakty wskazują na bezpośredni związek między SabPubem a atakami APT Luckycat. Jesteśmy prawie pewni, że backdoor SabPub został stworzony już w lutym 2012 r. i był rozprzestrzeniany za pośrednictwem wiadomości typu “spear-phishing”
Warto również zaznaczyć, że SabPub nie jest backdoorem MaControl, chociaż wykorzystuje te same tematy w celu nakłonienia ofiar do otworzenia go. SabPub był skuteczniejszym atakiem, ponieważ przez prawie dwa miesiące pozostawał niewykryty!
Drugi wariant SabPuba został stworzony w marcu, a osoby atakujące wykorzystują exploity Javy w celu zainfekowania atakowanych maszyn działających pod kontrolą Mac OS X.
SabPub nadal stanowi aktywny atak i spodziewamy się, że osoby atakujące opublikują nowe warianty bota z nowymi C2 w ciągu kolejnych dni/tygodni.
Podsumowując:
* Podziękowania dla Aleksa Gostewa i Igora Soumenkowa za analizę.