SabPub Mac OS X Backdoor: Java-эксплойты, целевые атаки и возможная APT-атака

На прошлой неделе Apple выпустил два срочных обновления для Mac OS X, предназначенных для:

1. Удаления зловреда Flashback, о котором мы уже писали.
2. Автоматического отключения Java-плагина для браузера и фреймворка Java Web Start, что по сути означает отключение поддержки Java-апплетов в браузерах.

Необходимость второго шага связана с высокой степенью опасности уязвимости CVE-2012-0507, эксплуатируя которую Flashback смог заразить почти 700 000 пользователей через drive-by загрузки вредоносных программ.

Собственно, решение выпустить эти обновления было правильным. Мы может подтвердить, что в настоящее время через Java-эксплойты в дикой среде распространяется еще один зловред для Mac – Backdoor.OSX.SabPub.a.

Эта новая угроза представляет собой бэкдор для OS X, судя по всему, специально созданный для использования в целевых атаках. После активации в зараженной системе он соединяется с удалённым веб-сайтом для получения инструкций по классической схеме бот – командный сервер (C&C). Бэкдор содержит функционал для снятия скриншотов текущей сессии пользователя и выполнения команд на зараженном компьютере.

Бэкдор соединяется с удаленным сервером, чтобы получить задание

Веб-сайт rt***.onedumb.com, на котором размещен удаленный командный сервер, расположен на виртуальном выделенном сервере (VPS), который находится в городе Фремонт, штат Калифорния (США).

Зашифрованный адрес командного сервера («hostname_en») в коде бэкдора

Onedumb.com – это бесплатный сервис динамических DNS. Интересно, что командный сервер с IP-адресом 199.192.152.* в прошлом использовался при проведении других целевых атак (так называемой кампании Luckycat.)

Если верить временным меткам, проставленным в Java-загрузчике, то он был создан 16 марта 2012 г. – почти месяц назад. Судя по всему, Java класс с загрузчиком был отправлен на сайт ThreatExpert 12 апреля.

Продукты «Лаборатории Касперского» детектируют эксплойт, использованный в загрузчике, как Exploit.Java.CVE-2012-0507.bf.

Второго апреля на сайт мульти-сканера VirusTotal был также отправлен один из компонентов загрузчика. Позже его прислали еще раз. Оба раза – из Китая.

Java-эксплойты выглядят довольно стандартно, однако они подверглись обфускации с помощью ZelixKlassMaster – гибкого и довольно мощного Java-обфускатора. Очевидно, это было сделано, чтобы избежать обнаружения антивирусными продуктами.

В данный момент нет ясного понимания того, как пользователи заражаются этим зловредом. Незначительное число случаев заражения и бэкдор-функционал свидетельствуют о том, что зловред, скорее всего, используется при проведении целевых атак. По некоторым сведениям, атака проводилась через электронные письма с URL-ссылками, ведущими на два вебсайта, расположенные в США и Германии, на которых и был размещен эксплойт.

Интересно время обнаружения данного бэкдора. Как раз в марте появилось несколько сообщений об имевших место целевых атаках против пользователей Mac OS X, проведенных в защиту прав тибетцев. В данном случае вредоносная программа не похожа на ту, что использовалась в тех атаках, однако не исключено, что все эти атаки были проведены в рамках одной или похожих кампаний.

Еще одна важная деталь: бэкдор скомпилирован со включением отладочной информации, что существенно упрощает его анализ. Из этого можно предположить, что бэкдор находится в разработке, и в нашем распоряжении оказалась не конечная версия.

Мы продолжаем изучение данного зловреда, обновления будем публиковать по мере появления новой информации. Рекомендуем также прочитать статью о 10 несложных шагах, позволяющих повысить уровень безопасности вашего компьютера Mac.