Cерия целевых атак на уйгуров — пользователей MacOSX

Kaspersky Lab в сотрудничестве с исследователями AlienVault Labs проанализировала серию целевых атак, предпринятых в последние несколько месяцев и нацеленых на уйгуров – пользователей Mac OS X. Результаты исследования AlienVault Labs доступны здесь.

Хотя некоторые из этих атак имели место в 2012 году, заметно значительное увеличение количества атак в январе-феврале 2013 г., что указывает на выросшую активность хакеров в этот период.

Все эти атаки используют эксплойты к уязвимости CVE-2009-0563 в Microsoft Office. Данный эксплойт легко распознать благодаря обозначенному в свойствах автору следующего документа – «captain». В этих атаках использовалось несколько файлов формата doc. Все эти документы содержат второй, фальшивый документ, который демонстрируется пользователю, когда эксплойт успешно выполнен.

В случае успешного выполнения эксплойт загружает бэкдор в виде универсального исполняемого Mach-O файла размером 101/104 KB. Этот бэкдор основан на Tiny Shell – UNIX-бэкдоре с открытым исходным кодом, впервые выпущенном в 2003 году. Бэкдор, скомпилированный под OS X, устанавливается в качестве сервиса «systm» в OS X-системе. Данный код включает встроенное шифрование стандартов AES и SHA1; в него также зашиты секретные ключи исходного кода и сценарии поведения в некоторых случаях. По всей видимости, для сокращения объёма из оригинального TSH-кода выкинули довольно значительные фрагменты. В качестве AES-ключа была использована последовательность «12345678» – что демонтрирует не очень высокий уровень разработчиков. В бэкдор также зашит функционал, позволяющий загружать произвольный исполняемый файл из командного центра.

Информацию о платформе, на которой был скомпилирован исполняемый файл, можно узнать из исполняемого двоичного файла. В нем имеется следующий путь: /Users/cbn/Documents/WorkSpace/design/server/build/server.build/Release, cbn – это, вероятно, пользовательское имя создателя бэкдора.

В дополнение к коду «tshd» создатель зловреда включил в него также функционал для выполнения действий со списками контактов пользователя. Таким образом, если бэкдор на зараженном компьютере будет быстро обнаружен, атакующая сторона может воспользоваться списком доверенных контактов жертвы, чтобы восстановить контроль над зараженной системой. Одновременно через списки контактов киберпреступник получает возможность находить новые жертвы, представляющие для него интерес.

Описываемая серия показывает, что возможности проведения APT-атак на пользователей Mac OS X продолжают расширяться. В целом, пользователи компьютеров Mac зачастую подвержены ложному чувству защищенности. Как убедительно продемонстрировали эпидемии, вызванные такими вредоносными программами, как Flashback, пользователи «Маков» совершенно не застрахованы от заражения вредоносным ПО. А теперь, когда растет число целевых атак против таких пользователей, можно ожидать появления нового вредоносного ПО и эксплойтов, предназначенных для заражения компьютеров на базе Mac OS X.

По материалам securelist.com

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s