Tag Archives: Trojan.Mdropper

New reconnaissance threat Trojan.Laziok targets the energy sector

A new information stealer, Trojan.Laziok, acts as a reconnaissance tool allowing attackers to gather information and tailor their attack methods for each compromised computer.Read More

Nueva amenaza apunta al sector energético: Trojan.Laziok

Una nueva amenaza que roba información, denominada Trojan.Laziok, actúa como una herramienta de reconocimiento y permite a los atacantes recopilar información y adaptar sus métodos de ataque a cada computadora comprometida.

Read More

Attackers circumvent patch for Windows Sandworm vulnerability

Attackers continue to take advantage of the Sandworm vulnerability by using an exploit that bypasses its patch to send compromised PowerPoint documents as email attachments.
Read more…

Attackers circumvent patch for Windows Sandworm vulnerability

Attackers continue to take advantage of the Sandworm vulnerability by using an exploit that bypasses its patch to send compromised PowerPoint documents as email attachments.
Read more…

Windows ????????????? Sandworm ????????

      No Comments on Windows ????????????? Sandworm ????????

限定的な標的型のサイバースパイ攻撃で、標的のコンピュータにバックドアを送り込むために Windows の新しい深刻なゼロデイ脆弱性が悪用されていると報告されています。

Sandworm Windows zero-day vulnerability being actively exploited in targeted attacks

Critical new Windows zero-day has reportedly been used in a limited number of targeted cyberespionage attacks to deliver a back door on to the victim’s computer.

Vulnerabilidade de dia-zero Sandworm, do Windows, é ativamente explorada em ataques dirigidos

Uma nova vulnerabilidade crítica no sistema operacional Windows está sendo explorada em um número limitado de ataques contra alvos nos EUA e na Europa. A vulnerabilidade Microsoft Windows OLE Package Manager Remote Code Execution Vulnerability (CVE-2014-4114) permite que os atacantes incorporem arquivos Object Linking and Embedding (OLE) a partir de locais externos. A vulnerabilidade pode ser explorada para baixar e instalar malware no computador do alvo e parece ter sido usada por um grupo de ciberespionagem conhecido como Sandworm para entregar o Backdoor.Lancafdo.A (também conhecido como Black Energy) a organizações-alvo.

?? ???? ???? ??? Windows ???? ???

      No Comments on ?? ???? ???? ??? Windows ???? ???

Critical new Windows zero-day has reportedly been used in a limited number of targeted cyberespionage attacks to deliver a back door on to the victim’s computer.

???????: ????????????????????????

      No Comments on ???????: ????????????????????????

ここ最近、いくつものゼロデイ脆弱性が矢継ぎ早に出現しており、セキュリティ業界も世界中の IT 管理者も、その対応に追われています。集中攻撃の後で一息つく暇もなく、また新しいゼロデイ攻撃が登場し、問題を起こそうとしています。その対象は主として日本のユーザーです。今回の脆弱性は、日本のワープロソフトウェア「一太郎」に存在するからです。

一太郎の開発元、ジャストシステム社は先日、「複数の一太郎製品に存在する未解決のリモートコード実行の脆弱性」(CVE-2013-5990)により任意のコードが実行されることを発表しました。シマンテックは、2013 年 9 月にこの脆弱性の悪用を試みる攻撃が活動中であることを確認しましたが、シマンテックのテスト環境では、その悪用は機能せず、システムへの侵入は果たせませんでした。いつものとおり、シマンテックはこの発見に続いて、必要な脆弱性開示の手続きを取りました。

シマンテックの解析によると、今回の攻撃で Trojan.Mdropper として検出されるサンプルにはすべて、Backdoor.Vidgrab として検出される同じバックドア型のトロイの木馬が含まれていることが判明しています。悪用に成功すると、理論上はシェルコードが実行され、簡体字中国語版のメモ帳が投下されて起動する一方、システムが危殆化してバックドアがリモートサイトに接続します。これと同時に、同じ Backdoor.Vidgrab の亜種が、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3893)を悪用する水飲み場型攻撃のペイロードとして使われていました(この脆弱性に対しては 2013 年 10 月にパッチが公開済み)。このことから、Internet Explorer の脆弱性を悪用する攻撃と、一太郎の脆弱性を悪用する攻撃の背後には、同じマルウェアグループ、あるいは密接な関係にある別のグループが関与していると考えてもよさそうです。Backdoor.Vidgrab はアジア太平洋地域を狙っており、特に政府関連機関が主な標的となっていることがトレンドマイクロ社の調査によって明らかになっています。シマンテックの遠隔測定も、その見解と矛盾しません。

標的に Trojan.Mdropper が送信される際、電子メールには一太郎のファイル拡張子である .jtd の付いたファイルが添付されていますが、これは実際には .rtf(リッチテキスト形式)ファイルです。.jtd は一太郎専用のファイル形式なので、Microsoft Word でこのファイルを開くことはできません。この攻撃活動で注目に値するのは、マルウェアグループが電子メールに使っている件名も本文も、一般的な標的型攻撃の場合とは異なっていることです。この標的型攻撃で使われている電子メールの例を以下の図に示します。

Figure_1.png

図. 標的型攻撃に使われている電子メール

この電子メールは、日本で人気のあるオンラインショッピングサイトで各種の商品を購入するようユーザーを誘導します。また、会員が購入した場合にはもれなく通常の 2 倍のポイントを獲得でき、送料も無料になると謳っています。電子メールの添付ファイルは、一太郎の悪用コードを含むチラシです。

2013 年 6 月、シマンテックは .jtd 拡張子を使う類似の Trojan.Mdropper の亜種を確認しましたが、その送り先も上記のマルウェアを受け取った組織でした。異なっているのはファイル形式で、今回の攻撃ではリッチテキスト形式が使われていますが、以前の攻撃では Microsoft Graph グラフを埋め込んだ Microsoft Word 文書が使われていました。特別に細工された Word 文書は、簡体字中国語版の Microsoft Office で作成されたものです。シマンテックの調査によると、この悪用コードも脆弱性の悪用に失敗しています。悪用に成功していれば、シェルコードによって以下の URL からマルウェアがダウンロードされるはずでした。

http://googles.al[削除済み]my.com/index.html

このドメインをホストしているサーバーは、Mandiant 社が「APT12」と呼ぶグループに関連しており、そのマルウェア自体は Trojan.Krast として検出されます。

APT12 グループに属していると思われる攻撃者は、BackdoorVidgrab も開発した可能性があり、同一ではないものの類似の標的を執拗に狙って、一太郎の悪用を試みているようです。この攻撃者は、悪用コードがうまく動作するかどうかをテストするための実験材料として標的を利用している可能性もあります。また、今回の攻撃はただの前哨戦であり、電子メールの効果的な本文や件名、たとえば標的を欺いて悪質な添付ファイルを開かせるだけの説得力がある本文や件名を見つけるために実施されたテストである可能性もあります。

今回ご報告した .jtd ファイルは Trojan.Mdropper として検出されます。また、シマンテックの .Cloud 製品でも、悪質な一太郎ファイルが添付された電子メールは安全に遮断されます。

一太郎をお使いのユーザーは、感染を防ぐために、ジャストシステム社から最新のパッチをダウンロードして適用するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。