Tag Archives: Downloader.Tandfuy

????????????????????????

      No Comments on ????????????????????????

韓国では最近、ゼロデイ脆弱性を悪用するサイバー攻撃、オンラインバンキングを狙うトロイの木馬、ゲームを狙うトロイの木馬、バックドア、そして同国を狙った分散サービス拒否(DDoS)攻撃といった報道が相次ぎ、メディアの注目を集め続けています。シマンテックは、Downloader.Tandfuy を中心としてこれらの要素をすべて取り込んだ最新の攻撃活動を確認しました。

「韓国と日本を対象とする標的型攻撃で悪用された Internet Explorer の新しいゼロデイ脆弱性」と題した最近のブログでも、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を悪用した、韓国を狙う攻撃についてお伝えしました。シマンテックがこの攻撃について調査した結果、攻撃者は韓国に対する一連の攻撃で、以前は別の悪用コードを使っていたことが判明しています。また、この攻撃が 2013 年 9 月始めから韓国を標的として続いている攻撃活動の一部であることも明らかになっています。これら一連の攻撃では、何種類もの悪質コードが多数使われており、Downloader.Tandfuy を皮切りに、Trojan.SequendropBackdoor.GhostnetTrojan.Chost、および Infostealer.Gampass が続けざまにダウンロードされます。
 

image1_14.png

図. 韓国を狙った Tandfuy サイバー攻撃の図解
 

ブログサイトにアクセスすると悪質な処理が引き起こされる

最新の攻撃は、被害者が韓国で人気のあるブログサイトにアクセスすることから始まります。このサイトには、ゼロデイ脆弱性 CVE-2013-3897 の悪用コードが仕掛けられており、訪問者のコンピュータで韓国語または日本語が使われているかどうかをチェックする追加のコードも存在します。どちらの言語も見つからなければ攻撃はそこで終了しますが、標的となる言語が見つかった場合には悪用コードが実行され、Downloader.Tandfuy のダウンロードで攻撃が始まります。Downloader.Tandfuy が韓国で拡散したのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-1347)が最近悪用された結果であることが確認されています。どちらの場合も、Downloader.Tandfuy は、続いて Trojan.Sequendrop をダウンロードし、それが Backdoor.Ghostnet、Trojan.Chost、または Infostealer.Gampass で構成される別の脅威を投下します。

Backdoor.Ghostnet は広く知られている脅威で、このブログでも 2009 年に 「Ghostnet Toolset-Back Door at the Click of a Button」(英語)というブログで説明しことがあります。この脅威は過去にスパイ活動に関連して使われたこともありますが、Gh0st RAT として知られるこのリモートアクセス型のトロイの木馬(RAT)は、今では誰でも自由にインターネットからダウンロードして入手することができます。

Trojan.Chost は侵入先のコンピュータ上でホストファイルを改ざんし、Web サイトに対する DNS 要求を別のサイトにリダイレクトします。今回の場合、ホストファイルは、韓国のいくつかのオンラインバンキングサイトを攻撃者のサイト(IP アドレス 174.139.5.34 または 98.126.76.109)にリダイレクトするように改ざんされます。解析時点では、韓国のオンラインバンキングサイトから攻撃者のサイトにリダイレクトされた後で実行される処理の内容は特定できませんでした。Web サイトをリダイレクトさせようとする攻撃者の動機は、オンラインバンキングのログイン情報を狙って何らかのフィッシング攻撃を実行することだと考えられます。

Trojan.Sequendrop によって投下される最後の脅威は Infostealer.Gampass で、これはその名前が示すとおり、オンラインゲームのログイン情報を盗み出す目的で使われます。興味深いのは、先日いくつかのメディアサイトで、韓国で 16 個の Web サイトが DDoS 攻撃を受けたという報道があったことです。今回の攻撃のうち、ちょうどその報道と同時期に検出された Infostealer.Gampass の最新サンプルを解析したところ、Infostealer.Gampass は、DDoS 攻撃が報じられた 16 個の Web サイトに定期的にアクセスすることが判明したのです。Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。Infostealer.Gampass によるこの活動は、報道されている DDoS 攻撃に関連すると思われ、Web サイトに対する DDoS 攻撃と誤って解釈された可能性もあります。
 

狙いは韓国に集中

シマンテックの遠隔測定では、この攻撃に関連する活動が依然として確認されていますが、現時点でメインのコマンド & コントロールサーバーは応答していません。さらに、この攻撃はまるでレーザー照準のように韓国に集中しています。攻撃の 99% は韓国から報告されており、他の地域から報告があったのは偶発的なものにすぎないからです。

これと同様の攻撃でゼロデイ脆弱性が悪用された前例はほとんどなく、今回の攻撃者が一定の高度な技術力を備えていることがうかがえます。この攻撃活動では何種類かのマルウェアが使われており、攻撃者の明確な目的はまだわかりませんが、動機は金銭の詐取にあると思われます。韓国に対するサイバー攻撃が起きると、メディアでは、とかく国家支援による何らかの攻撃ではないかと憶測されがちですが、今回確認された活動から判断する限り、この攻撃はサイバー犯罪であると考えたほうがよさそうです。

シマンテックは、この攻撃に関連する活動の監視を続けています。脅威から保護するために、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cybercriminals Serve Up a Veritable Smorgasbord of Threats for South Koreans

South Korea has not been too far from media attention lately, with reports of cyberattacks involving zero-day vulnerabilities, banking Trojans, gaming Trojans, back doors and distributed denial-of-service (DDoS) attacks targeting the nation. Symantec h…