Tag Archives: Trojan.Malscript

Internet Explorer ????????????????????

      No Comments on Internet Explorer ????????????????????

Microsoft が昨日パッチを公開したばかりの脆弱性(CVE-2015-2502)が、Korplug マルウェアを拡散する水飲み場型攻撃にすでに悪用されていました。

Read More

New Internet Explorer zero-day exploited in Hong Kong attacks

Bug patched by Microsoft yesterday (CVE-2015-2502) has already been exploited in watering hole attacks to deliver Korplug malware.Read More


      No Comments on ????????????????????????



Read More

??????????????????????? Internet Explorer 10 ????????

先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT(Advanced Persistent Threat)に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。

シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。

IE 10 zero day 1.png

図 1. CVE-2014-0633 を悪用する攻撃の分布図


  • 登山者を対象としたコミュニティサイト
  • 出会い系アダルトサイト
  • 言語教育を推進するサイト
  • 金融市場の情報を提供する Web サイト
  • オンラインショッピングサイト
  • 日本の旅行代理店の Web サイト


IE 10 zero day 2 edit.png

図 2. CVE-2014-0322 悪用コードの標的になったコンピュータの地域分布

これらの Web サイトは、Internet Explorer のゼロデイ脆弱性に対する悪用コードをホストするように改ざんされたか、悪用コードをホストしている別の侵入先サイトにリダイレクトする iframe が挿入されて更新されていました。攻撃に成功すると、悪用コードによって、オンラインバンキングを狙うトロイの木馬が投下され、これがみずほ銀行とゆうちょ銀行のログイン情報を盗み出そうとします。シマンテックは、この脅威を Infostealer.Bankeiya として検出します。

IE 10 zero day 3.png

図 3. トロイの木馬が表示する、みずほ銀行の偽の画面(ログイン後)



図 4. トロイの木馬が表示する、ゆうちょ銀行の偽の画面(ログイン後)



この脆弱性を修正するセキュリティ更新プログラムはまだ提供されていませんが、Microsoft 社は、この脆弱性を悪用する攻撃からコンピュータを保護するために、以下の対応策を推奨しています。






* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Internet Explorer 10 Zero-Day Vulnerability Exploited in Widespread Drive-by Downloads

Earlier this month we blogged about a new Internet Explorer 10 zero-day vulnerability that was targeted in a recent watering hole attack. The attackers took advantage of a previously undiscovered zero-day flaw known as the Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322). At the time, the attackers delivered the exploit code for the zero-day vulnerability through compromised sites, intending to target a limited audience. Since then, we have continued to closely monitor attacks focusing on CVE-2014-0322. We’ve observed trends suggesting that attacks targeting this vulnerability are no longer confined to advanced persistent threats (APT) — the zero-day attacks are expanding to attack average Internet users as well. We refer to these attacks as drive-by downloads. This is not a surprising result, as the vulnerability’s exploit code received a lot of exposure, allowing anyone to acquire the code and re-use it for their own purposes.

Our internal telemetry shows a big uptick in attempted zero-day attacks. The attacks started to increase dramatically from February 22, targeting users in many parts of the world.  Our telemetry shows both targeted attacks and drive-by downloads in the mix.

IE 10 zero day 1.png

Figure 1. Attacks targeting CVE-2014-0322 around the world

Users visiting Japanese sites have particularly been targeted.  This is mainly because multiple sites were compromised to host the drive-by download. The following sites were compromised in these attacks.

  • A community site for mountain hikers
  • An adult dating service site
  • A website promoting language education
  • A website providing financial market information
  • An online shopping site
  • A website of a Japanese tour provider

We believe that the same attacker undertook the majority of the attacks, based on the file components used.

IE 10 zero day 2 edit.png

Figure 2. Computers targeted with CVE-2014-0322 exploit code by region

These websites either were modified to host the exploit code for the Internet Explorer zero-day vulnerability or were updated with the insertion of an iframe that redirects the browser to another compromised site hosting the exploit code. If the attack is successful, the exploit drops a banking Trojan that steals login details from certain banks. Symantec detects this threat as Infostealer.Bankeiya.

IE 10 zero day 3.png

Figure 3. Fake login screen for Mizuho Bank asking for a pin number

How to stay protected from the attacks

Microsoft has yet to provide a security update to patch the affected vulnerability. However, the company has offered the following solutions to help users protect their computers from exploits that take advantage of this vulnerability:

Symantec also encourages users to apply all relevant patches when they are available. Symantec protects customers against this attack with the following detections:


Intrusion Prevention Signatures

We will likely to continue to see an uptick in attacks exploiting this vulnerability, so we urge everyone to take action immediately.

Adobe Flash ????????????????????????????

      No Comments on Adobe Flash ????????????????????????????

ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。


図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃


今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト(giftserv.hopto.org)にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル(Trojan.Malscript)が読み込まれ、このファイルによって標的のシステムが 32 ビットか 64 ビットかが判定されます。この判定結果に応じて、攻撃者のサーバーにホストされている 32 ビットまたは 64 ビットのいずれかのフォルダから、悪質な index.html ファイル(これも Trojan.Malscript として検出されます)と追加コンポーネントがダウンロードされます。悪質な index.html は次に cc.swf という Adobe Flash ファイル(Trojan.Swifi)を読み込み、これにゼロデイ脆弱性が存在します。悪用に成功すると、暗号化されたシェルコードを含む logo.gif という画像ファイルがダウンロードされ、このシェルコードによって悪質なペイロード server.exe(Backdoor.Jolob)がダウンロードされ実行されます。


インストールされている Adobe 製品を最新バージョンに更新して、この脆弱性に緊急に対処することをお勧めします。ソフトウェアのアップグレード方法について詳しくは、Adobe Security Bulletin を参照してください。






水飲み場型攻撃が、特定の個人を標的にした攻撃者の間で多用され続けていることは、今回の事例からも明らかです。ゼロデイ脆弱性が次々と悪用されていることを考えると、攻撃者が使える武器は無尽蔵とも言えます。複数の Web サイトで Adobe Flash のこの脆弱性が確認されていますが、送信されているペイロードはそのすべてで異なります。今回のゼロデイ悪用コードが多くの攻撃者に販売されている可能性や、あるいは単独の攻撃者が複数の攻撃キャンペーンを仕掛けている可能性があります。シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。


図 2. 水飲み場型攻撃の手口


* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Flash Zero-Day Linked to Yet More Watering Hole Attacks

Watering hole attacks using zero-day vulnerabilities are becoming more common. Last week we announced an Internet Explorer 10 zero-day being used in a watering hole attack and today, just one week later we have an Adobe Flash zero-day, Adobe Flash Player and AIR CVE-2014-0502 Remote Code Execution Vulnerability (CVE-2014-0502), also being used in a watering hole attack. This new attack has been dubbed “Operation GreedyWonk” in various media and is reported to be targeting the websites of three non-profit institutions. Symantec telemetry shows even more sites being targeted in this watering hole attack using this new zero-day.


Figure 1. Watering hole attack using Adobe Flash 0-day

Anatomy of the attack

This attack technique is known as a watering hole attack. In this case the target visits a compromised website that contains an IFrame inserted by the attackers in order to redirect the target to another website (giftserv.hopto.org). This new site loads a malicious index.php file (Trojan.Malscript) which checks whether the victim is running a 32-bit or 64-bit system. Depending on the results, a malicious index.html file (also Trojan.Malscript) and additional components are also downloaded from either the 32-bit or 64-bit folders hosted on the attacker’s server. The malicious index.html file then loads the cc.swf Adobe Flash file (Trojan.Swifi) containing the zero-day. Once exploited, a logo.gif image file is downloaded containing encrypted shellcode which downloads and executes the malicious server.exe (Backdoor.Jolob) payload.

How can I prevent and mitigate against this attack?

Symantec recommends users update their Adobe product installations to the latest versions to address this critical vulnerability. Details of how to upgrade software are available in an Adobe Security Bulletin.

Symantec customers are protected from this zero-day attack with the following detections:


Intrusion Prevention Signatures

  • Web Attack: Malicious SWF Download 22

As always, we also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.

Watering hole attacks remain popular

This latest watering hole attack demonstrates that it remains a popular technique for attackers to target individuals of interest. The use of yet another zero-day indicates the arsenal available to attackers shows no signs of depletion. Multiple websites have been identified using this Adobe Flash zero-day, all with different payloads being delivered. This may be the result of this particular zero-day being sold to a number of different attackers, or possibly that it was used by a single attacker in multiple campaigns. Symantec continues to investigate this attack to ensure that the best possible protection is in place.


Figure 2. Anatomy of a watering hole attack

????????????? Internet Explorer 10 ???????????

      No Comments on ????????????? Internet Explorer 10 ???????????

先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。


図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃


この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。

SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです(Trojan Horse として検出されます)。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。

SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。


調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx(謎の山猫)と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。


Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit(EMET)をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。






* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。