Jakiś czas temu pisaliśmy o atakach używających złośliwego oprogramowania dla systemu OS X, ukierunkowanych na aktywistów tybetańskich. Oprócz tego, w lipcu 2012 r. donieśliśmy o atakach wykorzystujących złośliwe oprogramowanie dla systemu OS X przeciwko aktywistom ujgurskim. Te późniejsze ataki korzystały z socjotechniki do infekowania maszyn użytkowników szkodliwym oprogramowaniem Backdoor.OSX.MaControl.b.

W ciągu ostatnich miesięcy obserwowaliśmy szereg ataków ukierunkowanych na aktywistów ujgurskich, przede wszystkim wymierzonych w uczestników Światowego Kongresu Ujgurów. W atakach zostało użytych kilka charakterystycznych plików. Obejmowały one:

Concerns over Uyghur People.doc
Hosh Hewer.doc
Jenwediki yighingha iltimas qilish Jediwili.doc
list.doc
Press Release on Commemorat the Day of Mourning.doc
The Universal Declaration of Human Rights and the Unrecognized Population Groups.doc
Uyghur Political Prisoner.doc
2013-02-04 - Deported Uyghurs.doc
Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc
Kadeer Logistics detail.doc

Chociaż niektóre z tych ataków odnotowano już w roku 2012, zauważyliśmy znaczący skok liczby ataków w styczniu i w lutym 2013 r., co oznacza, że obecnie napastnicy są bardzo aktywni. Wszystkie ataki wykorzystują exploit dla luki CVE-2009-0563 (Microsoft Office) – ten konkretny exploit może być łatwo zidentyfikowany przez autora podstawowego dokumentu - jest nim słynny „kapitan”, o którym wspominaliśmy wcześniej:

Wszystkie pliki zawierają drugi, „fałszywy” dokument, który zostaje przedstawiony ofierze, gdy exploit zostanie pomyślnie uruchomiony. Kilka przykładów poniżej:

 

Wdrażane złośliwe oprogramowanie

Po pomyślnym dostarczeniu, exploity ładują backdoora w formie pliku wykonywalnego 101/104 KB Universal Mach-O. Ten mały backdoor wydaje się nieść ze sobą bardzo niewielką funkcjonalność, co jest unikatowe dla tego złośliwego kodu. Konfiguruje on bardzo niewielki zakres działań backdoora i moduł do kradzieży osobistych kontaktów ofiary. Autor skompilował dla systemu OS X wersję „Tiny SHell” (open-source'wego backdoora dla UNIXa, pierwotnie opublikowanego w roku 2003), który w systemie OS X ofiary instaluje się jako usługa „systm”. Kod zawiera osadzone algorytmy kryptograficzne AES i SHA1 wraz z zakodowanymi tajnymi kluczami i odpowiedziami na otrzymywane żądania. Sporo oryginalnego kodu TSH zostało wycięte z ciała szkodnika w celu zmniejszenia rozmiaru paczki dystrybucyjnej, a operatorzy, prawdopodobnie chcąc maksymalnie uprościć swoją pracę, zdecydowali się na użycie ciągu „12345678” jako tajnego klucza AES. Backdoor zawiera również zakodowaną funkcjonalność ściągania dowolnego pliku wykonywalnego z serwera centrum kontroli (C&C).

 

Informacje o platformie, na której program został skompilowany widać wewnątrz większego pliku binarnego, który wskazuje na ścieżkę dostępu w postaci: „/Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/”. Człon „cbn” jest prawdopodobnie nazwą użytkownika, który stworzył backdoora. Oprócz kodu „tshd”, napastnik zawarł również w szkodniku funkcje interakcji z listą kontaktów ofiary. Co ciekawe, napastnik zdecydował się pozostawić w systemie ofiary kartę kontaktową o nazwie „me” (ang. „ja”). Z jednej strony, ma to bardzo duży sens. Jeżeli backdoor zostanie szybko wykryty w systemie ofiary, atakujący będzie posiadał listę zaufanych kontaktów, którą może sfałszować, aby spróbować odzyskać kontrolę nad systemem ofiary. Atakujący może również na podstawie wymiany treści pomiędzy ofiarą a jej kontaktami próbować określić bardziej wartościowe cele ataku.

Informacje o centrum kontroli

Złośliwe oprogramowanie łączy się z następującymi serwerami C&C:

Są to dwie bardzo dobrze znane domeny, używane jako bazy zaawansowanych trwałych zagrożeń APT, od lat wykorzystywane wespół z windowsowym zestawem narzędzi do spoofingu komunikatorów internetowych MSN i Yahoo!. Druga domena (apple12.crabdance.com) jest w tej chwili niedostępna, ale uprzednio jej nazwa rozwiązywała się do adresu 207.204.245.192 i 207.204.231.196. Oba serwery są hostowane przez firmę „Black Oak Computers Inc.”, która jest znanym, „kuloodpornym” dostawcą hostingu, ignorującym prawie wszystkie żądania wyłączenia serwerów.

Backdoor dla Mac OS X będzie inicjował połączenie z serwerem, a jego funkcja „tshd_put_file” została skonfigurowana do porzucania skradzionych danych w katalogu „/downloads/”. Poprzez pasywne zbieranie śladów DNS zaobserwowaliśmy inne domeny, które kierowały do tych samych adresów IP lub były w jakiś sposób powiązane z opisywaną kampanią:

zbing.crabdance.com
www.googmail.org
bella.googmail.org
polat.googmail.org
video.googmail.org
photo.googmail.org
music.googmail.org
news.googmail.org
kisi.ddns.info
mymail.serveuser.com
rambler.serveuser.com
nicmail.dns04.com
webmailactivate.ddns.us
www.update.serveusers.com

Zalecenia obronne

Podsumowując nasze rozważania: w styczniu i lutym 2013 r. zaobserwowaliśmy znaczny wzrost liczby ukierunkowanych ataków wymierzonych w ujgurskich użytkowników systemu Mac OS X. Wszystkie z tych ataków wykorzystują lukę w oprogramowaniu znaną jako CVE-2009-0563, która została załatana przez firmę Microsoft w czerwcu 2009 r. Oto kilka zaleceń, jak chronić się przed opisywanymi atakami:

Wraz z omawianymi atakami obserwujemy ekspansję możliwości zagrożeń APT w atakowaniu użytkowników systemu Mac OS X. Ogólnie rzecz biorąc, użytkownicy komputerów Mac funkcjonują w złudnym poczuciu bezpieczeństwa, które wynika ze stereotypowego sloganu, że „na Maki nie ma wirusów”. Jak wcześniej pokazała epidemia Flashback, użytkownicy komputerów Mac definitywnie nie są odporni na działanie szkodliwego oprogramowania. A wraz ze wzrostem liczby ataków ukierunkowanych na użytkowników Maków z pewnością możemy spodziewać się gwałtownego „wysypu” szkodników i exploitów przeznaczonych do infekcji systemu OS X.

* Składam serdeczne podziękowania moim kolegom – Kurtowi Baumgartnerowi i Nicolasowi Brulezowi – za pomoc w przeprowadzeniu analizy.