????????? Gameover Zeus ????????????????
国際的な法執行機関により、金銭詐取を目的としたボットネットや Cryptolocker ランサムウェアネットワークの背後にいる攻撃グループが所有している大規模なインフラが押収されました。
Tag Archives: Downloader.Ponik
International Takedown Wounds Gameover Zeus Cybercrime Network
Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…
?? ?? ???? ??? ?? Gameover Zeus ??? ?? ??
Large swathes of infrastructure owned by the attackers behind the financial fraud botnet and Cryptolocker ransomware network seized by authorities.
Read more…
??????????????????????
寄稿: Binny Kuriakose
シリア危機を私利私欲のために悪用するスパムが後を絶ちません。赤十字社から送信されたように偽装した詐欺メッセージを利用するほか、シリアのニュースを扱った電子メールも悪用されています。スパマーは、ランダムな URL を含む悪質なメッセージを仕掛けて、危殆化した悪質な Web サイトにユーザーを誘い込もうとします。この Web サイトには不明瞭化された JavaScript コードがホストされており、そのコードによってトロイの木馬 Downloader.Ponik がダウンロードされます。
Downloader.Ponik が実行されると、以下のファイルが作成されます。
- %TEMP%\[ランダムな文字のファイル名].bat
- %UserProfile%\Local Settings\Application Data\pny\pnd.exe
これらのファイルが、ペイロードである悪質な実行可能ファイルをインジェクトすると、攻撃者はパスワードや重要な情報を盗み出せるようになります。
電子メールの件名は、メッセージの本文とまったく無関係な内容です。
Completed: Please DocuSign this document : Confidential Company Agreement 2013..pdf(完了: この文書に DocuSign で署名してください: Confidential Company Agreement 2013..pdf)
電子メールの本文には以下のようなデータが含まれ、「http://xxxxx.xxx.xx/xxxxx/index.html」というパターンで URL が埋め込まれています。
図 1. スパムメールの内容
ほとんどの攻撃で悪用されているのは、ユーザーのコンピュータでまだ更新されていない、またはパッチが適用されていない脆弱性です。ソフトウェアとウイルス対策定義は常に最新の状態に保つことをお勧めします。また、疑わしいリンクをクリックしたり、送信元の不明なファイルを開いたりしないようにしてください。
シマンテックでは、スパマーから送信されるこのような攻撃から保護するために、定期的にセキュリティ更新を提供しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Spammers Setup Fake Surgical Strikes on Syria
Contributor: Binny Kuriakose
Spammers continue to leverage the crisis in Syria for their personal gain. Besides taking advantage of a scam message that claimed to be from The Red Cross, spammers are now taking advantage of emails about the news in Syri…
Rendering the Web Red with Redkit
On June 26, we observed an exploit kit attack on the Segway website. Symantec has notified Segway about the attack and Segway has since taken steps to ensure their website is no longer compromised. This blog will look at the details of an attack using the Redkit exploit kit.
Attack details
Code is injected into a jQuery script.
Figure 1. jQuery script with code injection
The malicious code is present in the jquery.min.js JavaScript.
Figure 2. Malicious code in jquery.min.js
The injected JavaScript decodes to a malicious iframe, which redirects to a landing page. This also sets up a cookie after the redirection so that users are not compromised more than once.
Decodes to:
Figure 3. JavaScript decodes to a malicious iframe
The iframe redirects to a Redkit landing page:
- [REMOVED]. [REMOVED].co.uk/abcd.html
The landing page loads the Java Network Launch Protocol (JNLP) to call the malicious JAR files. On successful exploitation, the JAR files use “Open Connection” and receives the URL from “param value=” in an obfuscated manner.
Figure 4. Obfuscated URL received from “param value=”
The encoded string resolves to:
- http://[REMOVED]. [REMOVED].co.uk/19.html
The JNLP script is used to deploy malicious JAR files on user’s computer.
Figure 5. JNLP script used to deploy malicious JAR files
The URI for the JAR files:
- http://[REMOVED]. [REMOVED].co.uk/8o.jar
Current JAR file names are two characters long, such as 80.jar, sj.jar, and 7t.jar. These JAR files download an encrypted payload and employ cipher schemes to decrypt it.
The JAR files used in this attack use a Java type confusion vulnerability (CVE-2012-1723)
Figure 6. Java type confusion being exploited
The cipher scheme used to decode the URL, passed as param through JNLP, is a simple character substitution algorithm.
Figure 7. Cipher scheme used to decode URL
Several pieces of malware are dropped in this attack:
Figure 8. Attack scenario
Conclusion
Redkit has been available since early 2012 and still propagates in the same way: Hacked sites with a malicious iframe redirect to the exploit kit landing page, as we have observed in this case, and then plugin detect scripts are used for fingerprinting just like other exploit kits.
Recently, we have observed landing pages with the following URI patterns:
- [REMOVED]. [REMOVED]/hfiv.htm
- [REMOVED]. [REMOVED]/hmtg.htm
- [REMOVED].[REMOVED]/hmtg.htm
Redkit has started deploying JAR files using JNLP script as a plugin to load them. The dropped JAR files have numbered names such as 11.jar or 123.jar. The JAR files are obfuscated and exploit the latest Java vulnerabilities. The payload for these files is encrypted.
Redkit exploits several Java vulnerabilities:
- Oracle Java SE Remote Code Execution Vulnerability (CVE-2012-1723)
- Oracle Java SE Remote Java Runtime Environment Vulnerability(CVE-2013-0431)
- Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-1493)
- Oracle Java Runtime Environment Security Bypass Vulnerability (CVE-2013-2423)
Redkit is known to drop:
Symantec blocked approximately 150,000 Redkit attacks last month.
Figure 9. Geographical distribution of attacks
North American, European, and USSR regions are the most affected geographical areas. The motive for these attacks is generally compromising users for monetary benefits. Recently, these attacks have targeted organizations in order to steal intellectual property.
Protection
The good news is that Symantec provides comprehensive protection for Redkit attacks, and customers with updated intrusion prevention and antivirus signatures are protected. Intrusion Prevention scans all the network traffic that enters and exits your computer and compares this information against a set of attack signatures, protecting users against the most common Internet attacks.
Symantec has the following protection in place to protect customers from this attack:
Intrusion prevention:
- Web Attack: Redkit Exploit Website 2
- Web Attack: Red Exploit Kit Website
- Web Attack: Exploit Toolkit Website 48
- Web Attack: Malicious Java Download 26
- System Infected: Downloader.Ponik Activity
- System Infected: ZeroAccess RootKit Activity 7
- System Infected: ZeroAccess P2P Request
- System Infected: W32 Waledac Activity 9
Antivirus:
Opera ???????: ????????????????
2013 年 6 月 26 日、Opera ブラウザの開発元である Opera 社は、同社が不正侵入を受けたと発表しました。原因は同社のインフラストラクチャに対する標的型攻撃でしたが、これは普通の標的型攻撃とは異なっていました。今回使われた攻撃は知的財産を盗み出そうとするものではなく、Opera の自動更新機能を利用して、一般的には金融機関を狙うトロイの木馬に関連付けられるマルウェアを拡散しようとするものだったからです。
Opera 社のネットワークへの不正侵入があったのは 2013 年 6 月 19 日頃のことで、まず同社の失効したコードサイニング証明書が盗まれてマルウェアの署名に使われました。署名されたマルウェアは Opera の自動更新機能を介して拡散できるため、ユーザーはブラウザ更新の一部としてマルウェアを受信することになります。問題のマルウェアは Downloader.Ponik というダウンローダ型のトロイの木馬であり、金融機関を狙うトロイの木馬や Infostealer といったサイバー犯罪に関係するマルウェアの拡散に利用されるのが一般的です。
Opera 社は今回の発表の中で、01:00 から 01:36 の間に数千人のユーザーがマルウェアを自動受信した恐れがあると推測しています。同社はすでに不正侵入を特定しており、それ以上のマルウェアの拡散は食い止めることに成功しました。攻撃の時間が短かったため、成功した件数は限られていました。Opera 社のネットワークにもっと長時間アクセスできていたら、はたして成功率は上がっていたでしょうか。
Opera 社のサーバーに、攻撃者がもっと長時間アクセスしていたら、マルウェアの拡散はもっと多くのユーザーに広がっていたはずですが、そのような攻撃は非常に目立ち、セキュリティ企業の関心もひくため、すぐに保護対策がとられ、コマンド & コントロール(C&C)サーバーを停止するために協力態勢がとられることでしょう。こうしたことすべてが、マルウェアを確実に無効化します。これで思い出されるのは Conficker です。数百万のコンピュータに拡散した脅威で、2009 年 4 月 1 日にはペイロードを実行することになっていましたが、そのときまでには、セキュリティ各社とホスティングプロバイダが協力して、C&C サーバーを管理下に置くことができたというケースです。この脅威は厳密に監視されたため、攻撃者は起動する隙がありませんでした。
積極的な拡散の手段に出ようとすると、攻撃者は拡散の成功に足をすくわれることになります。今のところ今回の攻撃は無効化されていますが、ブラウザを更新し、今後の攻撃に対しても事前対応的に備えることを Opera 社は推奨しています。シマンテックは、今回の Downloader.Ponik に対する保護対策を提供していますが、影響を受けた恐れのあるユーザーはパスワードをリセットすることもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Opera Breach – When Cybercriminals take on Targeted Attacks
On June 26 2013, browser manufacturer Opera announced that they had been breached as a result of a targeted attack against their infrastructure. However, this was no ordinary targeted attack. The attackers in this case weren’t looking to steal intellectual property. They wanted to use Opera’s auto-update mechanism in order to propagate a piece of malware normally associated with financial Trojans.
When attackers breached the Opera network sometime around June 19 2013, they first stole an expired Opera code signing certificate to sign a piece of malware. Signing the malware allowed them to distribute it via Opera’s auto-update mechanism. Users would receive the malware as part of a browser update. The malware in question is Downloader.Ponik, a downloader Trojan typically used to propagate cybercrime-related malware, such as financial Trojans and infostealers.
Opera, in their statement, estimates that a few thousand users may have automatically received the malware sometime between 01:00 and 01:36. Opera spotted the breach and were able to halt any further propagation of the malware. As the attackers only had a small window in which to operate they had limited success. Had they had more prolonged access to the Opera network they would have been much more successful. Or would they?
Had the attackers had access to the Opera servers for a longer period they would have been able to propagate their malware to a much larger number of users. However, such an attack would be very noisy, drawing the attention of security companies who would quickly provide protection and lead a concerted effort to take down command-and-control (C&C) servers. All of this would render the malware effectively useless. This is reminiscent of Conficker, a threat which spread to millions of computers and was due to trigger a payload on April 1, 2009. However, by that time, security organizations and hosting providers had worked together to take control of the C&C servers. The threat was being so closely monitored that the attackers were unable to leverage it.
When attackers try aggressive propagation methods they become victims of their own success. For now this attack has been neutralized. Opera recommends that users update their browsers as proactive measure against further attacks. Symantec provides protection for this as Downloader.Ponik. We also recommend that users who think they may have been affected reset their passwords.
??????????????????? Bitcoin
分散型のデジタル通貨 Bitcoin に対する関心が高くなっているのは確かです。しかし、注目を集めるものの常として、Bitcoin は詐欺師の関心も集めています。これまでの数年間に、Bitcoin ウォレットを盗むトロイの木馬がいくつか発見されています。また、Bitcoin マイナーをインストールするトロイの木馬も、もはや珍しくはありません。先週確認された例からも、犯罪者の Bitcoin に対する関心の高さがうかがえます。世界最大の Bitcoin 取引サイト Mt.Gox になりすましたフィッシングサイトについても報告されるようになっています。Mt.Gox に対する攻撃はすでに前例があります。たとえば、分散サービス拒否(DDoS)攻撃を受けたり、米国の捜査当局によって一時的に Mt.Gox の資金の一部が差し押さえられたりしたこともあります。
もちろん、フィッシングサイトのご多分にもれず、これは正規のサイトとはまったく無関係な偽の詐欺サイトです。詐欺師はセカンドレベルドメイン(SLD)名として “mtgox” を使うだけでなく、トップレベルドメイン(TLD)を変更して、たとえば .org、.net、.de、.co.uk などのドメインを使っています。詐欺サイトは、マルウェアをダウンロードしてインストールするようにユーザーを誘導します。このマルウェアには MTGOX_Wallet.exe というもっともらしいファイル名が付いており、シマンテックはこれを Downloader.Ponik として検出します。
図 1. 別の TLD を使うフィッシングサイト
図 2. フィッシングサイト
このフィッシングサイトは、Microsoft の広告ネットワークなど代表的なオンライン広告サービスを利用した宣伝まで行っています。これも、できるだけ多くのアクセスを獲得するためで、詐欺広告が多くの有名サイトでも表示される結果になっています。
広告は、「New Century Gold: BITCOIN Protect your money – Buy Bitcoin(21 世紀のゴールド。BITCOIN があなたのお金を守ります – Bitcoin を購入しよう)」という宣伝文句でユーザーを誘っています。広告からリンクする詐欺サイトには、人のお金を守ること以外のありとあらゆるものが揃っていると考えれば、まったく正反対の広告です。
このフィッシングサイトでは一般的なセキュリティプロトコルである Secure Sockets Layer(SSL)が使われていません。その一点だけでも疑ってかかるには十分です。扱われている通貨の種類にかかわらず、どんな金融サービスでも、アクセス先が正規の Web サイトであることを確認してから情報を入力するように注意を払う必要があります。今回の場合は、フィッシングサイトの HTML 内にはさらに別の手掛かりも残されていました。好奇心の強いユーザーなら気づくかもしれませんが、正規サイトには記載されているパスワード変更の注意書きが隠されているのです。
図 3. フィッシング詐欺師が書き換えた HTML
Mt.Gox をお使いの場合は、必ずパスワードを変更しアカウントを確認することをお勧めします。Mt.Gox でもメンバーの検証プロセスを強化し始めており、預け入れも引き出しも、検証済みのアカウントでしか行えません。Mt.Gox は、マネーロンダリング対策法を遵守するために最大限の努力を払っているように見えます。5 月に連邦検察官によって閉鎖に追い込まれた Liberty Reserve と同じ過ちを繰り返さないためでしょう。Bitcoin は分散型の P2P 構造になっているので、Liberty Reserve とは大きく異なり、またそれゆえに閉鎖することは難しいのですが、それでもサービスを保護するために万全を尽くすのはビジネスとして賢明でしょう。
シマンテックは最近、マルウェアにつながる広告をユーザーの目に触れる前に遮断するクラウドベースの Symantec AdVantage をリリースしました。Web サイトに広告を掲載しているサイト所有者に対しては、OTA(Online Trust Alliance)が推奨するマルバタイジング(悪質な広告)対策のガイドライン(英語)をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Bitcoins Still a Hot Security Topic
Interest in Bitcoin—the decentralized digital currency—is definitely growing. But as with anything established, it also sparks the interest of scammers. We have seen a few Trojans stealing Bitcoin wallets over the last few years. Also, Trojans installing Bitcoin miners are not that exotic anymore. A case from last week shows how far interest has grown on the criminal side. Reports have emerged about phishing websites impersonating Mt.Gox, the largest Bitcoin exchange site. Mt.Gox has already fought battles in the past—for example when it was on the receiving end of a distributed denial-of-service (DDoS) attack and also when US authorities temporarily seized part of their money.
Of course, as with the nature of phishing websites, the real site has nothing to do with the fake scam site. The scammers just used the same second-level domain (SLD) name, “mtgox”, but with a different top-level domain (TLD)—for example, using .org, .net, .de, or .co.uk domains. The scam site tried to trick users into downloading and installing malware with the convincing MTGOX_Wallet.exe file name, which Symantec detects as Downloader.Ponik.
Figure 1. Phishing website uses alternate TLD
Figure 2. Phishing website
The phishing websites were even advertised using more than one major online advertising service, for example Microsoft’s advertisement network, in order to reach as many victims as possible. This resulted in the scam ad being displayed on many prominent websites.
The ad enticed users by stating “New Century Gold: BITCOIN Protect your money – Buy Bitcoin”—a clever turn-about since the ad links to a scam site that has everything else in mind except protecting your money.
The fact that the phishing site does not use the common Secure Sockets Layer (SSL) security protocol should have been a clear giveaway for any visitor. As with any financial service, regardless of the currency behind it, people should pay due diligence to ensure they are on a real website when entering information. In this case, the scammers left an additional clue inside the HTML of the phishing website for the curious type: they hide the original site’s guidance to change passwords.
Figure 3. Phisher-altered HTML
Symantec recommends all Mt.Gox users change their passwords and verify accounts. Mt.Gox has started to intensify the verification process of its members, allowing deposits or withdrawals only from verified accounts. They appear to be doing as much as possible to comply with anti-money laundry laws in order avoid the same fate as Liberty Reserve, which was shut down by federal prosecutors in May. Despite Bitcoin being substantially different to Liberty Reserve due to its decentralized peer-to-peer structure, and hence much harder to shut down, it is still good business practice to do as much as possible to ensure secure service.
Symantec has recently launched cloud-based Symantec AdVantage to help prevent ads that lead to malware from ever reaching customers. Website owners that include advertising on their websites should also check out the anti-malvertisement guidelines recommended by the Online Trust Alliance (OTA). The OTA is a non-profit organization with the mission to enhance online trust while promoting innovation and the vitality of the Internet. Symantec is a founding member of the OTA.