Een backdoor voor Mac OS X die zich via een Java- en Word-lekken verspreidt, wordt actief bij gerichte aanvallen ingezet, zo ontdekte anti-virusbedrijf Kaspersky Lab. Dit weekend waarschuwde de virusbestrijder voor de SabPub-backdoor. De malware lijkt nu verband te houden met de LuckyCat advaned persistent threat (APT) waar in maart voor werd gewaarschuwd.

Zowel deze APT als de Mac-backdoor maken met hetzelfde IP-adres verbinding, waardoor wordt aangenomen dat dezelfde bende achter de aanvallen zit. Kaspersky zette een honeypot op, die bewust met de Mac-backdoor werd geïnfecteerd. De aanvallers vielen voor het lokaas en bleken handmatig de machine te verkennen. De inhoud van de root en home mappen werd opgevraagd en verder werden verschillende valse documenten gestolen.

"We zijn er vrij zeker van dat de activiteiten van de bot handmatig werden uitgevoerd, wat betekent dat een echte aanvaller handmatig de besmette machines controleert en gegevens van ze steelt", zegt virusexpert Costin Raiu. "We kunnen daarom bevestigen dat SabPub een actieve APT is." Het doel lijkt vooral Tibetaanse organisaties te zijn.

Backdoor
Tijdens de analyse werd een andere variant van de backdoor ontdekt, die eerder was ontwikkeld. De analisten konden in eerste instantie niet achterhalen waardoor deze versie zich verspreidde. Het bleek om zes Microsoft Word documenten te gaan die een exploit uit 2009 gebruiken. Vier documenten installeren de MaControl-bot, de overige twee de SabPub backdoor. Het gaat hier om de eerste versie van de backdoor, aangezien de tweede variant zich via een lek in Java verspreidt.

Raiu stelt dat de SabPub backdoor al in februari van dit jaar is ontwikkeld en via spear-phishing e-mails is verspreid. De malware was effectiever dan de MaControl-bot, aangezien die anderhalve maand onopgemerkt bleef. Tevens is SabPub nog altijd actief en verwacht de virusbestrijder dat er de komende dagen of weken nieuwe varianten zullen verschijnen.