В сотрудничестве с исследователями AlienVault Labs мы проанализировали серию целевых атак, которые были предприняты в последние несколько месяцев и нацелены на уйгуров –пользователей Mac OS X. Результаты исследования AlienVault Labs доступны здесь. Наш анализ представлен в данном блог посте.
Ранее мы писали о целевых атаках, направленных на тибетских активистов, в которых использовалось вредоносное ПО для Mac OS X. Кроме того, в июле прошлого года мы рассказывали об атаках с использованием зловредов под Mac OS X, направленных против уйгурских активистов. Во время этих последних атак с помощью социальной инженерии ничего не подозревающих пользователей заражали зловредом Backdoor.OSX.MaControl.b.
За последние месяцы мы зафиксировали серию целевых атак, направленных на уйгурских активистов, в первую очередь на Всемирный уйгурский конгресс.
В этих атаках использовалось несколько имён файлов, включая следующие:
Hosh Hewer.doc
Jenwediki yighingha iltimas qilish Jediwili.doc
list.doc
Press Release on Commemorat the Day of Mourning.doc
The Universal Declaration of Human Rights and
the Unrecognized Population Groups.doc
Uyghur Political Prisoner.doc
2013-02-04 — Deported Uyghurs.doc
Jenwediki yighingha iltimas qilish Jediwili(Behtiyar Omer).doc
KadeerLogisticsdetail.doc
Хотя некоторые из этих атак имели место в 2012 году, мы заметили значительное увеличение количества атак в январе-феврале 2013 г., что указывает на выросшую активность хакеров в этот период.
Все эти атаки используют эксплойты к уязвимостиCVE-2009-0563 в Microsoft Office. Данный эксплойт легко распознать благодаря обозначенному в свойствах автору следующего документа – это широко известный «captain», о котором мы уже писали:
Все эти документы содержат второй, фальшивый документ, который демонстрируется пользователю, когда эксплойт успешно выполнен. Вот несколько примеров:
Загружаемое вредоносное ПО
В случае успешного выполнения эксплойт загружает бэкдор в виде универсального исполняемого Mach-O файла размером 101/104 KB. Похоже, этот маленький бэкдор имеет очень небольшие функциональные возможности, уникальные для этого вредоносного кода. Он устанавливает минимальный работающий бэкдор и программу для кражи личных данных.
Tiny Shell – UNIX-бэкдор с открытым исходным кодом, впервые выпущенный в 2003 году. Этот бэкдор, скомпилированный под OS X, устанавливается в качестве сервиса «systm» в OS X-системе компьютера-жертвы. Данный код включает встроенное шифрование стандартов AES и SHA1; в него также зашиты секретные ключи исходного кода и сценарии поведения в некоторых случаях. По всей видимости, для сокращения объёма из оригинального TSH-кода выкинули довольно большие фрагменты. В качестве AES-ключа была использована последовательность «12345678» – ещё один показатель того, что программа была сделала «на коленке». В бэкдор также зашит функционал, позволяющий загружать произвольный исполняемый файл из командного центра.
Путь, встроенный в код зловреда и видимый в 104 КБ версии бэкдора
Информацию о платформе, на которой был скомпилирован исполняемый файл, можно добыть из более объемной версии исполняемого двоичного файла. Виден следующий путь: /Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release/. cbn – это, вероятно, пользовательское имя создателя бэкдора.
В дополнение к коду»tshd» создатель зловреда включил в него также функционал для выполнения действий со списками контактов пользователя. Что интересно, атакующий любит оставлять в зараженной системе метку «me» («я»).
Это вполне объяснимо. Если бэкдор на зараженном компьютере будет быстро обнаружен, атакующая сторона может воспользоваться списком доверенных контактов жертвы, чтобы восстановить контроль над зараженной системой. Одновременно через списки контактов киберпреступник получает возможность находить новые жертвы, представляющие для него больший интерес.
Информация о командных серверах
Вредоносная программа устанавливает соединения со следующими командными серверами:
Версия бэкдора | Командный сервер | IP-адрес |
---|---|---|
101880 байтов | update.googmail.org | 207.204.245.192 |
104140 байтов | apple12.crabdance.com | Недоступен |
Эти домены хорошо известны: они не первый год используются при проведении APT-атак с применением набора Windows-утилит, предназначенных для спуфинга в сетях мгновенного обмена сообщениями MSN и Yahoo!.
Второй домен (apple12.crabdance.com) в данный момент не доступен, но раньше в системе DNS ему соответствовали IP-адреса 207.204.245.192 и 207.204.231.196. Оба сервера размещены на абузоустойчивом хостинге известного провайдера Black Oak Computers Inc., который игнорирует практически все требования закрыть вредоносные серверы.
На компьютере под управлением Mac OS X бэкдор устанавливает соединение с сервером. В соответствии с настройками Функции tshd_put_file бэкдора украденные данные загружаются в папку/downloads/ на сервере.
Спомощью пассивного сбора DNS-данных (passiveDNSfingerprinting)мы обнаружили другие домены, соответствующие тем же IP-адресам или связанные с описываемыми здесь атаками:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
zbing.crabdance.com www.googmail.org bella.googmail.org polat.googmail.org video.googmail.org photo.googmail.org music.googmail.org news.googmail.org kisi.ddns.info mymail.serveuser.com rambler.serveuser.com nicmail.dns04.com webmailactivate.ddns.us www.update.serveusers.com |
Рекомендации по защите от угрозы
Прежде всего, еще раз кратко сформулируем суть проблемы: в январе-феврале 2013 года мы обнаружили существенное увеличение числа целевых атак против уйгуров – пользователей Mac OS X. Все эти атаки используют уязвимость CVE-2009-0563, которая закрыта компанией Microsoft в июне 2009 года.
Ниже мы предлагаем рекомендации по защите от подобных атак:
Рекомендации | Обоснование |
---|---|
Использовать аккаунт @gmail.com | Почтовый сервис Google (@gmail) использует дополнительные механизмы защиты от целевых атак, которые недоступны на других бесплатных почтовых сервисах. Среди таких механизмов – двухфакторная аутентификация и предупреждения об атаках, проводимых с государственной поддержкой. |
Обновить Microsoft Office до последней версии | Уязвимость, используемая данными атаками, закрыта компанией Microsoft в июне 2009 года. Новая версия Office не содержит уязвимость, позволяющую проводить подобные атаки. |
Установите комплексный защитный продукт класса Internet Security | В состав комплексных продуктов класса Internet Security входят функции защиты от вредоносных программ и спама, а также сетевой экран. Это обезопасит ваш компьютер (Windows или Mac OS X) от наиболее распространенных атак и сделает его взлом неизмеримо более сложной задачей для злоумышленников. |
Пользуйтесь браузером Google Chrome | В Google Chrome реализован широкий набор защитных функций, которые делают его более устойчивым к вредоносным атакам по сравнению с другими браузерами. |
Если не уверены, задайте вопрос отправителю | Если вы обнаружили подозрительные почтовые сообщения, всегда стоит спросить отправителей, действительно ли они посылали вам вложенные в эти сообщения документы. |
Описываемые здесь атаки показывают, что возможности проведения APT-атак на пользователей Mac OS X продолжают расширяться. В целом пользователи компьютеров Mac зачастую подвержены ложному чувству защищенности, вызванному давнишней мантрой «Макам вирусы не страшны». Как убедительно продемонстрировали эпидемии, вызванные такими вредоносными программами, как Flashback, пользователи «Маков» совершенно не застрахованы от заражения вредоносным ПО. А теперь, когда растет число целевых атак против таких пользователей, можно ожидать появления нового вредоносного ПО и эксплойтов, предназначенных для заражения компьютеров на базе Mac OS X.
* Хочу поблагодарить своих коллег Курта Баумгартнера (Kurt Baumgartner)и Николя Брюле (Nicolas Brulez) за помощь в проведении анализа.
Волна кибератак на уйгуров — пользователей MacOSX