Tag Archives: attack campaign

?????????????????????????? JRAT

      No Comments on ?????????????????????????? JRAT
Java ベースのリモートアクセスツール(RAT)を使った攻撃も、もはや異例ではなくなりました。過去数年間で広がりを見せ、その後も企業と個人の両方を標的にし続けています。こういった攻撃がこれほど一般化したのも、特に驚くことではありません。RAT によってコンピュータへの感染に成功すると、攻撃者はそのコンピュータを完全に制御できるからです。それだけでなく、この攻撃は理論上、Java が稼働しているあらゆるコンピュータを標的にするので、オペレーティングシステムの種類も限定されません。ほんのいくつかの RAT のソースコードがオンラインで公然と共有されているおかげで、攻撃者は Java RAT を容易に利用することができます。
 
シマンテックは今月、Java RAT(JRAT)を拡散する新しいスパム攻撃を確認しました。攻撃が始まったのは 2014 年 2 月 13 日です。スパムメールの送信者は、支払い証明書を添付したと称して、その受信を確認するようユーザーに求めてきます。
 
Capture_email_figure1.png
図 1. 新しい Java RAT 攻撃で使われているスパムメール
 
添付されているのは、実際には悪質な Paymentcert.jar という名前のファイル(Trojan.Maljava として検出されます)です。このトロイの木馬を実行すると、侵入先のコンピュータに JRAT(Backdoor.Jeetrat として検出されます)が投下されます。RAT は、Windows PC に限らず Linux、Mac OS X、FreeBSD、OpenBSD、さらには Solaris ベースのコンピュータにも感染します。この RAT は以前の標的型攻撃でも確認されており、新しいものではありません。次の画像に示すように、JRAT のビルダーを使うと、独自にカスタマイズした RAT を作成するのが、いかに簡単かわかります。
 
image2_figure2.png
図 2. JRAT のビルダー
 
シマンテックの遠隔測定でこのドロッパーを調べたところ、今回の攻撃はアラブ首長国連邦と英国に特に集中しています。
 
map_figure3.png
図 3. 支払い証明書スパム活動の分布図(2014 年 2 月)
 
今回の攻撃は、特定の個人を標的にしていると考えられます。被害者数が少ないこと、ドロッパーがこの攻撃特有なものであること、コマンド & コントロール(C&C)サーバーが 1 つであること、そしてスパムメールの大部分が個人の電子メールアドレス宛てに送信されていることなど、いくつかの特徴から、これは標的型の性質があると断定できるようです。
 
newchart_figure4.png
図 4. シマンテックの遠隔測定で判明した、2014 年 2 月の攻撃による被害者数
 
迷惑メールや心当たりのない疑わしい電子メールを受信した場合は、十分に警戒することをお勧めします。電子メールの信憑性に疑問がある場合には、けっして返信せず、メッセージ中のリンクをクリックしたり添付ファイルを開いたりしないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

JRAT Targets UK and UAE in Payment Certificates Spam Campaign.

Java remote access Trojan (RAT) campaigns aren’t rare anymore. Their prevalence has increased in the past few years and they have continued to target both enterprises and individuals. The popularity of these campaigns isn’t surprising, as if an attacker successfully infects a victim’s computer with a RAT, then they could gain full control of the compromised computer. Along with this, these threats aren’t limited to one operating system, as in theory, they focus on any computer that runs Java. Attackers have easy access to Java RATs thanks to the fact that a handful of these RATs’ source code is being openly shared online
 
This month, we have observed a new spam campaign delivering a Java RAT known as JRAT, which started on February 13, 2014. The spam email’s sender claims that they have attached a payment certificate to the message and asks the user to confirm that they have received it. 
 
Capture_email_figure1.png
Figure 1. Spam email as part of the new Java RAT campaign
 
The email actually contains a malicious attachment with the file name Paymentcert.jar, detected as Trojan.Maljava. If the Trojan is executed, it will drop JRAT, detected as Backdoor.Jeetrat, on the compromised computer. The RAT not only affects Windows PCs, but also Linux, Mac OSX, FreeBSD, OpenBSD, and Solaris computers. This RAT is not new, as we have seen it in previous targeted attacks. JRAT’s builder, as seen in the following image, shows just how easy it is for an attacker to create their own customized RAT. 
 
image2_figure2.png
Figure 2. JRAT’s builder 
 
Our telemetry on the dropper shows that the campaign has predominantly affected the United Arab Emirates and the United Kingdom.  
 
map_figure3.png
Figure 3. Payment certificate spam campaign heat map for February 2014
 
This campaign appears to be targeting specific individuals. Certain aspects of the attack seem to confirm the targeted nature of the campaign, such as the low victim numbers, a unique dropper, one command-and-control (C&C) server and the fact that the majority of these spam messages were sent to personal email addresses. 
 
newchart_figure4.png
Figure 4. Number of people affected by the campaign in February 2014, according to our telemetry
 
Symantec advises users to be on their guard when they receive unsolicited, unexpected, or suspicious emails. If you aren’t sure of the email’s legitimacy, then don’t respond to it and avoid clicking on links in the message or opening attachments.