В пятницу, 13 апреля был закрыт порт 80 на командном сервере по адресу rt*****.onedumb.com, размещенном на виртуальном выделенном сервере (VPS), находящемся в г. Фремонт (Калифорния) в США. В субботу порт был открыт, и бот вышел на связь с командным сервером. В течение всего дня трафик формировали только handshake- и служебные пакеты.
В течение двух дней мы вели мониторинг «фальшивой» зараженной системы — это обычная наша практика, когда дело касается ботов, используемых в APT-атаках. Нетрудно вообразить наше удивление, когда на выходных киберпреступники, управляющие APT-атакой, взяли под свой контроль нашу «зараженную» машину и принялись ее исследовать.
В конце прошлой недели связи между троянцем-бэкдором для Mac OS X и APT-атакой, известной под названием . IP-адрес командного сервера (C&C), с которым соединяется данный бот (199.192.152.*), использовался также в 2011 году некоторыми вредоносными программами для Windows, из чего мы сделали вывод, что за всеми этими атаками стоит одна и та же группа киберпреступников.
опубликовано 18 апр 2012, 11:40 MSKСюжеты: , , ,
Эксперт «Лаборатории Касперского»
Новая версия OSX.SabPub & подтверждения APT-атак на компьютеры Mac
→ → → →Новая версия OSX.SabPub & подтверждения APT-атак на компьютеры Mac
Новая версия OSX.SabPub & подтверждения APT-атак на компьютеры Mac - Securelist
Комментариев нет:
Отправить комментарий