Neue Version von OSX.SabPub & belegte Mac APT-Attacken

Ende letzter Woche fanden wir einen Beweis für eine mögliche Verbindung zwischen dem Mac OS X Backdoor-Trojaner und einer APT-Attacke, die unter dem Namen LuckyCat bekannt ist. Die IP-Adresse des C&C, mit dem sich dieser Bot verbindet (199.192.152.*) wurde im Jahr 2011 auch in anderen Samples von Windows-Malware verwendet, weshalb wir zu dem Schluss gekommen sind, dass hinter diesen Attacken dieselben Leute stecken.

In den letzten zwei Tagen haben wir ein von uns vorsätzlich infiziertes System überwacht – eine typische Prozedur, die wir mit APT-Bots durchführen. Wir waren überaus erstaunt, als die ATP-Master während des Wochenendes die Kontrolle über unsere infizierte Maschine übernahmen und begannen sie auszuspähen.

Am Freitag, dem 13. April, wurde Port 80 auf dem C&C-Server, der unter rt*****.onedumb.com von einem VPS in Fremont, USA, gehostet wird, geschlossen. Am Sonnabend wurde der Port geöffnet und der Bot begann mit dem C&C-Server zu kommunizieren. Den gesamten Tag lang bestand der Traffic ausschließlich aus Handshakes und Exchanges, nichts anderem.

Am Samstagmorgen, dem 15. April, änderte sich der vom C&C generierte Traffic. Die Angreifer übernahmen die Verbindung und begannen unseren angeblichen Opferrechner zu analysieren. Sie erfassten den Inhalt der Root- und Home-Ordner und stahlen sogar einige der Alibi-Dokumente, die wir hinterlegt hatten!


Verschlüsselte Kommunikation zwischen dem C&C und unserem gefakten Opfercomputer



Oben stehendes Paket, decodiert – der Angreifer spioniert den Inhalt des Ordners aus

Wir sind uns ziemlich sicher, dass die Operation des Bots manuell gesteuert wurde – d.h. ein realer Angreifer überprüft manuell die infizierten Rechner und zieht sich manuell Daten heraus.

Wir können daher bestätigen, dass SabPub ein aktiver APT ist.

Am Sonntagmittag wurde die C&C-Domain still gelegt und die Verbindung zum Bot abgebrochen; dabei handelt es sich um eine Initiative des kostenlosen DNS-Service onedumb.com, die zweifellos von der Medien-Aufmerksamkeit motiviert war. Interessanterweise ist der VPS, der als C&C genutzt wurde, noch immer aktiv.

Während der laufenden Analyse von SabPub stießen wir auf eine andere Version des Backdoors, die anscheinend früher entwickelt wurde. Diese Version unterscheidet sich nur unwesentlich von dem Original, und zwar ist die hartcodierte C&C-Adresse anders – anstelle von der onedumb.com Subdomain, die vom Original-Sample verwendet wird, (hartcodiert in dem Bot als “e3SCNUA2Om97ZXJ1fGI+Y4Bt”), enthält diese einfach die IP-Adresse des VPS (hartcodiert als “OjlDLjw5Pi4+NUAuQDBA”), was bedeutet, dass es noch immer einsatzbereit sein sollte. Seine Größe beträgt 42556 Bytes – im Vergleich zu den 42580 Bytes des Originals.

Eines der größten Rätsel an der ganzen Angelegenheit ist der Infektionsvektor dieser Attacken. In Anbetracht der zielgerichteten Natur dieser Angriffe finden sich nur sehr wenige Spuren. Trotzdem sind wir auf ein wichtiges Detail gestoßen, das sich als fehlendes Bindeglied herausstellte: Sechs Microsoft Word Dokumente, die wir als Exploit.MSWord.CVE-2009-0563.a detektieren. Insgesamt haben wir sechs relevante Word .docs, die unter diese Detektion fallen, wobei vier von ihnen den MaControl-Bot transportieren. Die übrigen zwei laden SabPub ab.

Das Interessanteste an dieser Sache ist die Geschichte der zweiten Variante von SabPub. In unserer Virensammlung heißt sie “8958.doc”. Diese Bezeichnung verweist darauf, dass es aus einem Word-Dokument extrahiert oder als Doc-File verbreitet wurde.

Wir haben das Sample analysiert und seinen Ursprung mittels MD5 zurückverfolgt (40C8786A4887A763D8F3E5243724D1C9). Die Ergebnisse sind faszinierend:

  • Das Sample wurde am 25. Februar 2012 auf VirusTotal hochgeladen – von zwei Quellen aus den USA.
  • In beiden Fällen lautete der Original-Dateiname “10th March Statemnet” (ja, in genau dieser Schreibweise und ohne Erweiterung)
  • Zu dieser Zeit auf VirusTotal null Detektionen (0/40)

Für den Fall, dass sich jemand über den Dateinamen (“10th March Statemnet”) wundern sollte – er steht in direkter Verbindung zu dem Dalai Lama und der Tibetanischen Community. Am 10. März 2011 veröffentlichte der Dalai Lama eine Stellungnahme zum Jahrestage des Tibetaufstands – daher der Name.



Feld Eigenschaften eines Dokuments, das zur Verbreitung von SabPub verwendet wird

Leider sind nur wenige Informationen in den doc-Dateien enthalten, aber das Feld „Autor“ sowie das Feld „Erstellungsdatum“ sind interessant. Wenn wir insbesondere dem Erstellungsdatum Glauben schenken, so heißt das, der Container DOC wurde im August 2010 erstellt und 2012 mit dem SabPub-Sample aktualisiert. Das ist für derartige Angriffe nicht ungewöhnlich und wir kennen das von anderen Fällen, wie z.B. von Duqu.

Unserer Meinung nach weisen die oben genannten Fakten auf eine direkte Verbindung zwischen der SabPub- und den Luckycat APT-Attacken hin. Wir sind recht sicher, dass der Backdoor SabPub bereits im Februar 2012 entwickelt und über Spear-Phishing-Mails verbreitet wurde.

Wichtig ist auch die Erkenntnis, dass SabPub nicht mit dem Backdoor MaControl identisch ist (wie es hier beschrieben wurde), sondern einfach dieselben Themen ausnutzt, um die Opfer dazu zu bringen, die Datei zu öffnen. SabPub war die effizientere Attacke, da der Schädling fast zwei Monate lang unentdeckt blieb!

Die zweite Variante von SabPub wurde im März entwickelt, und die Angreifer nutzen Java-Exploits, um gezielt Mac OS X-Rechner zu infizieren.

SabPub ist noch immer aktiv, und wir gehen davon aus, dass die Angreifer in den nächsten Tagen/Wochen neue Varianten des Bots mit neuen C2s herausbringen werden.

Zusammenfassung:

  • Derzeit gibt es mindestens zwei Varianten des SabPub-Bots.
  • Die frühere Version des Bots scheint im Februar 2012 entwickelt und verwendet worden zu sein.
  • Die Malware wird über Word-Dokumente verbreitet, die die Sicherheitslücke CVE-2009-0563 ausnutzen.
  • SabPub unterscheidet sich von MaControl, einem anderen Bot, der im Februar 2012 in APT-Angriffen eingesetzt wurde; SabPub war effektiver, denn er blieb über anderthalb Monate unentdeckt.
  • Der APT hinter SabPub ist zum gegenwärtigen Zeitpunkt aktiv.

* Herzlichen Dank an Aleks Gostev und Igor Soumenkov für die Analyse.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.