Oslo Freedom Forumとは、年1回開催される「いかに最適に権威主義に挑戦し、自由でオープンな社会を促進するかについて研究する」イベントだ。今年のカンファレンス(5月13〜15日に開催)では、自分の機器を政府の監視から守る方法について、言論の自由の活動家向けのワークショップがあった。このワークショップの最中、Jacob Appelbaum は、新しく今まで知られていない未知のバックドアをアフリカ系活動家のMac上で発見した。

 当社のMacアナリスト(ブロデリック)がそのサンプルを現在調査している。

 このスパイウェアはAppleのDeveloper IDで署名されている。

Developer ID

 起動ポイントは以下だ。

Launch point

 スクリーンショットをダンプし、MacAppという名前のフォルダに格納する。

Screenshot dump folder

 ファンクションは次のとおり。

Functions

 このサンプルにつながりのあるC&Cサーバは2つある。

DomainTools, securitytable.org
securitytable.org

DomainTools, docforum.info
docsforum.info

 片方のC&Cサーバは現在、名前解決できない。そしてもう一方は以下のようになる。

docsforum.info
Forbidden

 当社製品では次の名前で検出する。Backdoor: OSX/KitM.A. (SHA1: 4395a2da164e09721700815ea3f816cddb9d676e)