セキュリティ専門家によると、Macを標的とするSabpabトロイの木馬には2つの亜種が存在するとのことです。今週初め、SabpabはFlashbackトロイの木馬が利用したのと同じJavaの脆弱性を利用してMacを標的にしていると報じました。そして今回発見されたSabpabトロイの木馬マルウェアは、侵害されたWord文書を利用してMacを標的にしていると言われています。その初期バージョンは2012年2月に遡ります。Appleの最新セキュリティアップデートでJavaを更新しているため保護されていると考えているMacユーザーは、最新の脆弱性から安全ではないのではないかという懸念があります。
カスペルスキーのコスティン・ライウ氏は、Securelistブログで「SabPubボットには現在、少なくとも2つの亜種が存在する」と述べている。さらに、「このボットの最も初期のバージョンは2012年2月に作成・使用されたようだ。このマルウェアは、CVE-2009-0563の脆弱性を悪用するWord文書を通じて拡散している」と付け加えている。さらに、「SabPubは1ヶ月半以上も検知されずにいた」とも指摘している。(詳細は後述)
グラハム・クルーリー氏は、「Sabpabの以前の目撃情報とは異なり、今回の攻撃はFlashbackボットネットが悪用したJavaの脆弱性とは一切関係がありません」と警告しています。クルーリー氏は自身のブログで、「Javaの脆弱性を利用するのではなく、不正なWord文書を悪用しているようです」と述べています。
Cluley 氏の懸念は、「Java を使わないことで自分自身を保護できていると考えている Mac ユーザーは、それが効果的な防御策ではないことを認識する必要がある」という点です。
Sabpabは以前、OS XのJavaプラグインに存在する同じ脆弱性を利用してMacに感染すると考えられていました。Sophosは以前、Flashbackと同様に、感染したWebページにアクセスするだけで感染すると警告していました。MacのJavaをアップデートしていれば、この新たな脅威から保護され、ほとんどのMac用ウイルス対策ソフトウェアもSabpabから保護されると考えられていました。しかし、これは事実ではありません。
クルーリー氏によると、このトロイの木馬は次のように動作する。「脆弱なMacでこの罠が仕掛けられたWord文書を開くと、OSX/Sabpabトロイの木馬のバージョンがコンピュータにインストールされ、バックドアが開かれ、リモートハッカーが情報を盗んだり、さらなるコードをインストールしたりできるようになります。」クルーリー氏はさらに、「悪意のあるソフトウェアがMacにインストールされる際に、ユーザー名やパスワードの入力を求めるプロンプトが表示されないため、Macユーザーは攻撃に巻き込まれる可能性があります。」と付け加えている。ソフォスのウイルス対策製品はこのWord文書をTroj/DocOSXDr-Aとして検出し、OSX/Sabpab-Aに対する保護機能もこの亜種を検出するように更新されているとクルーリー氏は指摘し、Macユーザーはセキュリティソフトウェアをインストールすることを推奨している。
このWordの脆弱性攻撃は目新しいものではありません。Cluley氏は、AlienVaultが3月に特定した別のMacマルウェアに関する以前のブログ記事を引用しています。この件では、トロイの木馬は仕掛けられたWord文書に隠されており、2009年にMicrosoft Wordで発見された重大なセキュリティ脆弱性を悪用し、リモートコード実行を可能にしていました。
クルーリー氏は、これらの以前の攻撃はWordの既知のセキュリティ脆弱性を悪用したもので、「現在、サイバー犯罪者は同じ手法を使ってOSX/Sabpabを拡散させている」と述べている。「どちらの事件でも、表示されたWord文書はチベットに関連したものだったようだ」とクルーリー氏は付け加えた。
カスペルスキー社のコスティン・ライウ氏も、ファイル名(「3月10日声明」)がダライ・ラマとチベット社会に直接関連していると指摘している。
ライウ氏は、「SabPubとLuckycatのAPT攻撃の間には直接的な関連性がある」と指摘する。「SabPubのバックドアは2012年2月頃に作成され、スピアフィッシングメールを通じて拡散されたとほぼ確信しています。」ライウ氏は、LuckyCatとして知られるAPT攻撃の追跡が困難だったと説明する。「最大の謎の一つは、これらの攻撃の感染経路です。攻撃の標的が高度に絞られているため、痕跡はほとんど残っていません。」
しかし、「SabPub は 2 か月近くも検出されなかったため、より効果的な攻撃だった」と Raiu 氏は言います。
Raiu 氏によると、SabPub の 2 番目の亜種は 3 月に作成され、攻撃者は Java の脆弱性を利用して標的の Mac OS X マシンに感染しているという。
Flashback Trojan の感染はピーク時には 60 万台以上の Mac に影響を与えました。
