Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Am Mittwoch fingen wir eine neue APT-Kampagne unter Verwendung einer neuen Backdoor-Variante für MacOS X ab, die sich gegen uigurische Aktivisten richtete.

Doch bevor ich näher darauf eingehe, zunächst ein kleines Rätsel:

– Der Dalai Lama geht in einen Apple Store. Warum?

Eine mögliche Antwort lautet, “um sich eins der neuen MacBook Pros mit Retina Display zu kaufen“ (wo ich gerade davon spreche – ich selbst würde mir auch gern so eins kaufen, doch es ist nicht ganz einfach diese Entnahme aus dem Familienbudget zu rechtfertigen…).

Spaß beiseite – der Dalai Lama ist bekannt als Mac User. Hier ein Foto von ihm, wie er einen Mac während einer Videokonferenz benutzt:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Und hier ein besseres Foto von ihm, auf dem er an einem 17” MacBook Pro arbeitet:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Vermutlich ist es nicht überraschend, dass wir eine Zunahme von APT-Attacken gegen so prominente Mac-User zu verzeichnen haben.

Am 27 Juni konnten wir eine neue Welle von APT-Attacken abfangen, die sich gegen bestimmte uigurische Mac-Anwender richtete.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

An die E-Mails ist eine ZIP-Datei angehängt. In der ZIP-Datei befinden sich ein JPG-Foto und eine MacOS X-App:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Bei der Anwendung handelt es sich tatsächlich um eine neue, meist unentdeckte Version des MaControl-Backdoors (Universal Binary), der sowohl i386 als auch PowerPC Macs unterstützt. Wir detektieren diesen Schädling als “Backdoor.OSX.MaControl.b”.

MD5 ( “matiriyal.app/Contents/MacOS/iCnat” ): e88027e4bfc69b9d29caef6bae0238e8
Wird er ausgeführt, installiert sich das Schadprogramm im System und verbindet sich mit dem C&C-Server, um von dort Anweisungen entgegenzunehmen. Der Backdoor ermöglicht es seinem Betreiber, Dateien aufzulisten, Dateien zu verschieben und ganz allgemein Befehle auf dem infizierten Rechner auszuführen.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Wie gewöhnlich enthalten einige der Kommentare und Debug-Informationen – obgleich sie auf Englisch sind – häufige Fehler:
– “Recieve” anstatt “Receive”
– “os verison” anstatt “os version”
– “memery” anstatt “memory”
– Etc…

Der Backdoor ist recht flexibel – seine Command and Control-Server sind in einem Konfigurationsblock gespeichert, der ans Ende der Datei gehängt wurde und der 0x214 Bytes groß ist. Der Konfigurationsblock ist mit einer simplen “substract 8”-Operation obfuskiert.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Ist er entschlüsselt, kann die Adresse des C&C-Servers als 61.178.77.* mit Standort in China gelesen werden:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Mit der wachsenden Popularität von Macs, insbesondere auch unter Prominenten, erwarten wir eine Zunahme von APT-Attacken gegen MacOS X. In früheren Attacken wurden MS Office-Exploits verwendet (Exploit.MSWord.CVE-2009-0563.a.); bei der hier beschriebenen Attacke wird der User durch Social-Engineering-Methoden dazu gebracht, den Backdoor auszuführen. Wie auch bei PC-Malware, ist eine Kombination aus Exploits und Social-Engineering-Tricks im Allgemeinen am effektivsten, daher würde uns eine baldige Zunahme derartiger Attacken nicht überraschen.

Update [30. Juni 2012]: AlienVault hat eine Beschreibung des Windows-Gegenstücks zu dem in dieser Attacke verwendeten Backdoor gepostet. Die Analyse finden Sie hier.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.