???????????????????????

      No Comments on ???????????????????????

標的型攻撃は日常的に発生するようになり、攻撃者は最新のニュース記事をすぐさまソーシャルエンジニアリングの材料として利用しています。最近確認された標的型攻撃は、ペイロードとして Backdoor.Korplug を送信するもので、Symantec.cloud サービスで捕捉されました。この攻撃では、シリアでの化学兵器使用疑惑に関連して最近ワシントンポスト紙に掲載された記事が利用されています。攻撃者は、この記事の全文を悪質な文書に利用していますが、これは被害者を騙して、あたかも正規の文書であるかのように思わせることが目的です。
 

Chemical attacks 1.png

図 1. 記事を盗用した悪質な文書の一部
 

この攻撃は、Backdoor.Korplug による標準的な手口に従っています。以前のブログでお伝えしたように、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-2551、Bloodhound.Exploit.497)を含む悪質な .doc ファイルを電子メールで標的に送り付ける手口です。
 

Chemical attacks 2.png

図 2. シリアでの化学兵器使用疑惑に関する報道を悪用した標的型攻撃の電子メールの例
 

シマンテックは、今回のブログで解説したような新しい脅威やそれに類似した脅威について監視を続けます。疑わしい電子メールはそもそも開封しないことをお勧めします。また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

If You Give A Hacker Your Email Address…

      No Comments on If You Give A Hacker Your Email Address…

Most parents and kids I speak to regarding online safety seem to have a bad case of the ‘it-will-never-happen-to-me’s.’ Stories of hacking and social engineering seem like far away ideas, or things that happen in a Spielberg movie, but not an everyday occurrence. I get it. In fact, I used to be one of these people. Read more…

Chemical Attack in Syria Used as Enticement in Targeted Attack

Targeted attacks are a daily occurrence and attackers are fast to employ the latest news stories in their social engineering themes. In a recent targeted attack, delivering a payload of Backdoor.Korplug and caught by our Symantec.cloud services, we obs…

Hesperus (Evening Star) Shines as Latest ‘Banker’ Trojan

Hesperus, or Hesperbot, is a newly discovered banker malware that steals user information, mainly online banking credentials. In function it is similar to other “bankers” in the wild, especially Zbot. Hesperus means evening star in Greek. It is very active in Turkey and the Czech Republic and is slowly spreading across the globe. This sophisticated Read more…

What’s Hot on Social: Security and privacy update

Millions of users access social networks every day in order to share, engage, and look for information as well as entertainment. The transparency of social networks come with a risk and we very often expose ourselves to hackers and scammers that can take advantage of information we share. Social platforms constantly improve security and privacy […]

5 Things Parents Should Stop Doing Online (Now)

It’s natural to talk with your children when you see them out in public. It’s a biological reaction to admire their talents, praise them publicly, and even wrangle their wayward behavior when it starts to stir. Just don’t do it online. Parents are wise online if they curb what comes naturally and consider exercising a Read more…

Small Businesses: The Shift in Website Threats

      No Comments on Small Businesses: The Shift in Website Threats

Last year saw a shift in website threats, with more targeted attacks emerging that were aimed at small and medium businesses. While website security should always be at the forefront of any online business, a new Symantec infographic emphasises the imp…

How To Remain Friends with Your Teen on Facebook

So, you’ve finally convinced your teen to accept your friend request. What an exercise! So, what now? Do you immediately like their every post and start to scan and post all their old baby photos on their wall? NO, YOU DO NOT!! Here are my top tips for remaining friends with your teen on Facebook. Read more…

?????? RAT

      No Comments on ?????? RAT

寄稿: Roberto Sponchioni

シマンテックセキュリティレスポンスは最近、Alusinus という新しいリモートアクセスツール(RAT)を発見しました(Backdoor.Alusins として検出されます)。これは、スペイン語圏のアンダーグラウンド向けのプログラムで、ビルダー自体はいくつかの標準機能を備えた単純なものですが、その中に興味深く、特筆に値する機能が 1 つあります。このビルダー機能により、Backdoor.Alusins は検出をすり抜けやすくするために、calc.exe、svchost.exe、notepad.exe といった正常なプロセスに自身をインジェクトすることができます。
 

Spanish RAT 1.png

図 1. Backdoor.Alusins のコントロールパネル – ユーザー名、コンピュータ名、ウイルス対策やファイアウォールの情報が攻撃者に報告される
 

リアルタイムのデスクトップ監視
攻撃者は、Backdoor.Alusins を使って、被害者のデスクトップを表示し、ユーザーの活動をリアルタイムで監視することができます。
 

Spanish RAT 2 edit.png

図 2. 侵入先のコンピュータのデスクトップ表示
 

Web カメラの監視
また、リアルタイムで Web カメラの動作の監視とキャプチャが可能です。
 

Spanish RAT 3.png

図 3. Web カメラのセッション
 

キーロガー機能
さらに、Backdoor.Alusins には、ログイン情報などを盗み出すために、侵入先のコンピュータ上のキーストロークをリアルタイムで監視する機能もあります。
 

Spanish RAT 4.png

図 4. キーロガー
 

迷惑行為
攻撃者は、この RAT を使って、システムエラーメッセージをカスタマイズして被害者に直接メッセージを送ることができます。このメッセージ送信機能によって、悪質ないたずらやリモートからの迷惑行為が引き起こされる恐れがあります。攻撃者はいつでも、被害者に煩わしいメッセージやポップアップを送信し、同時に Web カメラを通じて被害者の反応を観察できるからです。このツールの作成者は、対話型のオンライン詐欺を想定してこの機能を実装した可能性もあります。
 

Spanish RAT 5.png

図 5. 侵入先のコンピュータで任意のエラーメッセージを表示できる
 

加えて、Backdoor.Alusins を使えば攻撃者は侵入先のコンピュータで以下の処理を実行することも可能です。

  • プロセスを監視する
  • Web ページを開く
  • 光学ドライブを開閉する
  • セッションを終了する
  • インストールされているプログラムを表示する
  • すべてのサービスを表示する
  • ファイルをダウンロードして実行する
  • リモートホストに接続してコマンドを受信する
  • Windows レジストリを表示する
  • インストールされているファイアウォールのタイプとバージョンを取得する
  • インストールされているウイルス対策ソフトウェアのタイプとバージョンを取得する
  • コンピュータ名、ユーザー名、IP アドレス、オペレーティングシステムのバージョン、言語といったシステム情報を抽出する
  • プロセスのリスト(PID とそれに対応するプロセス名)を取得する
  • 指定したユーザー名とパスワードを使って電子メールを送信する
  • Pidgin や Filezilla のユーザー名とパスワードを盗み出す
  • システムプロセスを表示または終了する

Backdoor.Alusins はそれほど普及している RAT ではなく、スペイン語圏のハッカー層を対象としていますが、それに限定されるものではありません。シマンテックは、このバックドアビルダーとバックドアを Backdoor.Alusins として検出します。

この RAT やその他の脅威から保護するために、ウイルス対策定義、オペレーティングシステム、およびソフトウェアを常に最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。