Malicious game downloads are not a new phenomenon, but malware authors are now exhibiting a greater degree of ambition in targeting online gamers. A gaming Trojan horse is now targeting user bank accounts in addition to user gaming credentials.
Threats…
Microsoft は 2013 年 10 月の月例パッチを公開し、一部の標的型攻撃で活発に悪用されている「緊急」レベルの 2 つの脆弱性に対応する MS13-080 をリリースしました。Internet Explorer に存在する 1 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)」で、これについては先日のシマンテックブログでお伝えしました。
Internet Explorer に存在する 2 つ目の「緊急」の脆弱性は、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2013-3897)」です。Microsoft はブログ記事の中で、これが CDisplayPointer における解放後使用の脆弱性であると述べ、onpropertychange というイベントハンドラによって実行される過程を説明しています。同ブログによると、JavaScript のヒープスプレーを使って、アドレス 0x14141414 付近に小さい ROP チェーンが割り当てられるということです。被害が確認されたエクスプロイトは、韓国語または日本語圏のユーザーを対象に、Windows XP 上の Internet Explorer 8 のみを標的にするよう設計されていました。シマンテック製品をお使いのお客様については、この攻撃に対して以下の保護対策がすでに実施されています。
シマンテックの遠隔測定によると、CVE-2013-3897 を悪用する攻撃が始まったのは 2013 年 9 月 11 日前後です。また、エクスプロイトをホストしているサイトにユーザーをリダイレクトする際、韓国の人気ブログサイトの Web ページが利用されていることから、主な対象は韓国のユーザーであることも判明しています。
シマンテックは、最善の保護対策を提供できるように、現在もこの攻撃の調査を続けています。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In Microsoft’s Patch Tuesday for October 2013, the company released MS13-080 to address two critical vulnerabilities that have been actively exploited in limited targeted attacks. The first critical vulnerability in Internet Explorer, the Microso…
During the last two years we have observed the accelerated discovery of Android malware by the security industry. Malware authors today often create and distribute fake “antimalware” apps that simulate the scan of files on a device. These fake apps report fake threats (and sometimes make the device unusable). The goal is to get victims Read more…
Mobile devices are also increasingly being used to manage a critical and important asset for all of us: our money. According to the Federal Reserve Board report “Consumers and Mobile Financial Services 2013,” in the United States “48 percent of smartphone owners have used mobile banking in the past 12 months, up from 42 percent Read more…
概要
韓国に対する大規模なサイバー攻撃は、過去 4 年間に何回か確認されています。シマンテックが特定したバックドア(Backdoor.Prioxer)は 2011 年の攻撃で浮かび上がったものですが、このバックドアを修正した亜種が 2013 年の攻撃でも検出されています。このバックドアは一般に入手可能なコードをベースにしていますが、同じ個人が 2011 年と 2013 年のどちらの攻撃にも関与している形跡があり、2 つの攻撃には何らかの関係性があるものと示唆されます。
背景
大規模な攻撃が初めて記録されたのは、2009 年 7 月のことでした。この攻撃は、米国の独立記念日に当たる 7 月 4 日に始まり、韓国と米国の政府系や金融系のさまざまな Web サイトに対して分散サービス拒否(DDoS)攻撃が仕掛けられました。2 度目の攻撃は 7 月 7 日、3 度目は 7 月 9 日に発生しています。一連の攻撃に使われたマルウェアは Trojan.Dozer で、電子メールを介して拡散しました。Trojan.Dozer のコードには時限爆弾が仕込まれており、7 月 10 日に発動するように設定されていました。この時限爆弾は、ハードディスク上の各種のファイルを上書きするうえ、ハードディスクの先頭の 1 MB も上書きして MBR とパーティションテーブルを破壊する機能があります。これにより、ハードディスクは、「Memory of the Independence Day(独立記念日を祝して)」という文字列で上書きされてしまいます。
2 度目の大規模攻撃は、2011 年 3 月 4 日に発生しました。このときも DDoS が利用され、同じく米国と韓国の政府系機関が狙われました。ここで使われたマルウェアは Trojan.Koredos ですが、やはり指定されたタイプのファイルを上書きし、MBR を破壊します。この攻撃の調査中に発見されたのが、Backdoor.Prioxer というトロイの木馬です。Backdoor.Prioxer は非常に高度で、ファイルへの感染の仕組みも慎重です。このときの詳しい手口については、以前のブログで紹介しています。
そして、3 度目に当たるのが今回、2013 年 3 月 20 日の攻撃です。この攻撃はハードディスクを上書きするだけで、DDoS 攻撃はないものと見られています。ここで使われている Trojan.Jokra は、MBR とハードディスクの内容を、ファイル形式に関係なく上書きしたうえで、マップされたネットワークドライブを探し、見つかればそれも上書きしようとします。インストールの経路は、電子メールやパッチ管理など複数あるようです。パッチ管理とは自動更新システムで、これが感染してマルウェアを拡散しました。
2011 年の Trojan.Koredos の調査と同様に、Trojan.Jokra に感染したコンピュータのファイルを調べているときに Backdoor.Prioxer の新しい亜種が見つかっています(Backdoor.Prioxer.B と命名されました)。この新しい亜種は、同じ C&C のベースプロトコルを共有していますが、以前の亜種とは異なり IRC 通信のプロキシは行いません。被害を受けたコンピュータへのインストール方法を判定しようとして、このファイルをさらに調べたところ、Trojan.Jokra とのつながりが確認されました。
関連性の発見
Trojan.Jokra のサンプルは Jokra パッカーによって不明瞭化されています。Jokra パッカーはダウンローダの不明瞭化にも利用されていました(2012 年 8 月に、50e03200c3a0becbf33b3788dac8cd46 という MD5 で発見)。このダウンローダは、次の場所から Backdoor.Prioxer をダウンロードします。
http://www.skymom.co.kr/[削除済み]/update_body.jpg
Trojan.Jokra と Backdoor.Prioxer.B のつながりも、Jokra パッカーが基になっています。2013 年の事案で見つかった別のマルウェアサンプル(Trojan.Gen.2)は、Jokra パッカーでパッケージ化され、ビルドのパス文字列を含んでいます。この文字列は、サンプルがディスク上のどこでコンパイルされたかを示しています。
パスは以下のとおりです。
Z:\Work\Make Troy\3RAT Project\3RATClient_Load\Release\3RATClient_Load.pdb
同じ調査で見つかった Backdoor.Prioxer.B サンプルにも、以下のビルド文字列が含まれています。
Z:\Work\Make Troy\Concealment Troy\Exe_Concealment_Troy(Winlogon_Shell)\Dll\Concealment_Troy(Dll)\Release\Concealment_Troy.pdb
2 つのマルウェアが、Z:\work\Make Troy という同じビルドソースディレクトリからコンパイルされたことが、これで明らかになりました。
仕事か趣味か
Jokra パッカーが 1 つのグループに限定されているとすれば、Backdoor.Prioxer.B と Trojan.Jokra のつながりは間違いありません。このパッカーは、検出数がきわめて少ないことから、公然と配布されているわけではなく、韓国に限定されているとシマンテックは考えています。今までのところ Jokra、ダウンローダ、そして「Z:」で始まるビルド文字列を含むバックドア型のトロイの木馬しか対象になっていません。こうした範囲の狭さから、Jokra パッカーが 1 つのグループのみによって使われていることが示唆されます。
Backdoor.Prioxer.B と 2011 年の攻撃とのつながりは、これまで明確にはなっていません。各バージョンの Backdoor.Prioxer が 2 つの攻撃を通じて存在していたとは考えにくく、トロイの木馬は単に調査の過程で検出されただけで、実際には攻撃に関係していなかったという説明も可能でしょう。とは言え、Jokra のつながりを考えると、サンプルはやはり関係していると考えてよさそうです。
最後に、Backdoor.Prioxer サンプルで使われているビルドパス自体が手がかりになります。パスは「Z:\work」ですが、個人のハックティビストがトロイの木馬を保存する場所として「work(作業用)」というラベルのフォルダを使うことは、まずありえません。ハックティビストであれば、トロイの木馬を開発することは仕事ではなく、趣味のようなものだからです。コードを作業用フォルダに保存するのは、コーディングを職業にしている人と考えれば、請負業者として報酬を得ている、あるいは従業員として指示されている何者かが一連の攻撃を実行した可能性があるということになります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Overview
In the past four years there have been several major cyber attacks against South Korea. We have identified a particular back door (Backdoor.Prioxer) that surfaced during the 2011 attacks. A modified version of this back door was also discover…
A massive computer shutdown of two South Korean banks and media companies occurred Wednesday via an Internet malware attack. The malware wiped out the master boot records on the hard drives of the infected computers, overwriting the MBR with either one of these strings: PRINCPES PR!NCPES HASTATI. Figure 1: Snapshot of MBR after infection. The Read more…
It’s a common misconception that mobile malware is a problem limited to users in a particular geographical region such as China or Eastern Europe. Last week, McAfee Labs mobile research department received a mobile malware sample that targets Android mobile phone users in South Korea. The sample pretends to be a popular coffee shop coupon Read more…