Новая версия OSX.SabPub & подтверждения APT-атак на компьютеры Mac

На прошлой неделе Apple выпустил два срочных обновления для Mac OS X, предназначенных для:

Удаления зловрпища Flashback, о котором мы теснее писали.

Автоматического отключения Java-плагина для браузера и фреймворка Java Web Start, что по сути означает отключение поддержки Java-апплетов в браузерах.

Необходимость второго шага связана с высокой степенью опасности уязвимости CVE-2012-0507, эксплуатируя которую Flashback смог заразить почти 700 000 пользователей через drive-by загрузки вредоносных программ.

Собственно, решение выпустить эти обновления было правильным. Мы может подтвердить, что в истиннее,истинное время через Java-эксплойты в бешеной среде распространяется еще один зловред для Mac – Backdoor.OSX.SabPub.a.

Эта новая угроза представляет собой бэкдор для OS X, судя по всему, умышленно созданный для использования в целевых атаках. После активации в зараженной системе он соединяется с удалённым веб-сайтом для получения инструкций по классической схеме бот – командный сервер (C&C). Бэкдор содержит перечень возможностей для снятия скриншотов текущей сессии пользователя и исполнения,исполненья команд на зараженном компьютере.



Бэкдор соединяется с удаленным сервером, чтобы получить задание

Веб-сайт rt***.onedumb.com, на котором размещен дистанционный командный сервер, расположен на виртуальном выделенном сервере (VPS), который находится в городе Фремонт, штат Калифорния (Соединенные Штаты).

Зашифрованный адрес командного сервера («hostname_en») в коде бэкдора

Onedumb.com – это безвозмездный сервис динамических DNS. Интересно, что командный сервер с IP-адресом 199.192.152.* в прошлом использовался при проведении других целевых атак (так называемой кампании Luckycat.)

Если верить временным меткам, проставленным в Java-загрузчике, то он был создан 16 марта 2012 г. – почти месяц назад. Судя по всему, Java класс с загрузчиком был отправлен на сайт ThreatExpert 12 апреля.

Продукты «Лаборатории Касперского» детектируют эксплойт, принятый на вооружение в загрузчике, как Exploit.Java.CVE-2012-0507.bf.

Второго апреля на сайт мульти-сканера VirusTotal был помимо прочего отправлен один из компонентов загрузчика. Позже его прислали еще раз. Оба раза – из Китая.

Java-эксплойты выглядят достаточно стандартно, однако они подверглись обфускации с поддержкою,подмогою ZelixKlassMaster – гибкого и довольно мощного Java-обфускатора. Очевидно, это было сделано, чтобы избежать обнаружения антивирусными продуктами.

В данный момент нет светлого понимания того, как пользователи заражаются этим зловредом. Незначительное число случаев заражения и бэкдор-функционал свидетельствуют о том, что зловред, скорее всего, используется при проведении целевых атак. По некоторым сведениям, атака проводилась через электронные письма с URL-ссылками, ведущими на два вебсайта, расположенные в США и Германии, на которых и был размещен эксплойт.

Интересно время обнаружения данного бэкдора. Как раз в марте было замечено несколько сообщений об имевших место целевых атаках против пользователей Mac OS X, проведенных в защиту прав тибетцев. В данном случае вредоносная программа не схожа на ту, что использовалась в тех атаках, однако не исключено, что все эти атаки были проведены в рамках одной или схожих кампаний.

Еще одна важная деталь: бэкдор скомпилирован со включением отладочной информации, что существенно упрощает его анализ. Из этого можно предположить, что бэкдор находится в разработке, и в нашем распоряжении оказалась не конечная версия.

Мы продолжаем изучение данного зловрпища, обновления будем публиковать по мере появления новой информации. Рекомендуем также прочитать статью о 10 несложных шагах, позволяющих повысить уровень безопасности вашего компьютера Mac.Источник: http://www.doskapozora.ru/



Пинг не поддерживается.

Оставить комментарий