Category Archives: Security Response News

?????????????????????

Hacker Medic March 21, 2013 No Comments

韓国でいくつかの銀行と放送局がサイバー攻撃を受けたことが、メディアで報じられています。

同国の ISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止しました。

改ざんされたサイトには、手の込んだアニメーション付きの Web ページが表示されます。効果音が流れて 3 つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージも表示されます。

この攻撃はまず、多数の Web サイトで障害が出始めるという形で明るみに出ました。銀行の利用者がオンライン口座にアクセスできなくなり、他のサイトからも停止しているという報告が相次ぎました。現時点で具体的な詳細はわかっていませんが、攻撃を受けたサイトの多くはハードディスクを消去され、該当するコンピュータは機能不全に陥りました。

シマンテックは、疑わしいマルウェアを Trojan Horse/Trojan.Jokra、WS.Reputation.1 として検出します。

現在、詳しい解析を実行しているところですが、今の段階で、このマルウェアは以下の処理を実行することが確認されています。

ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273V という名前で自身を参照する。
韓国のウイルス対策/セキュリティ製品ベンダーに関連する次の 2 つのプロセスを停止する。
- pasvc.exe
- clisvc.exe
ドライブをすべて列挙し、MBR とそこに保存されているデータを “PRINCPES” または “HASTATI.”（末尾にピリオドが付きます）という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます。
攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
“shutdown -r -t 0” を実行して、コンピュータを強制的に再起動する。MBR とドライブの内容がなくなっているため、システムは使用不可になります。

ディスク消去処理の結果は、現地で報告されたどの主要なシステム停止も変わりません。ディスク消去は目新しい手口ではなく、2012 年 8 月のインシデントでも、中東の多くの組織が W32.Disttrack（Shamoon）という脅威に攻撃され、ハードディスク消去によって同種の被害を受けています。

現在、この攻撃の発信源や、攻撃者が感染先に侵入した方法についての手がかりはありません。攻撃者の真の動機も不明ですが、最近は朝鮮半島で政治的緊張が高まりつつあることから、今回の攻撃は不法な攻撃の一環であるか、民族主義的なハックティビストが悪用した結果と考えられます。

シマンテックは、手に入りしだい、さらに詳しい情報をお届けする予定です。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Remote Linux Wiper Found in South Korean Cyber Attack

Hacker Medic March 20, 2013 No Comments

Earlier today we published our initial findings about the attacks on South Korean banks and local broadcasting organizations. We have now discovered an additional component used in this attack that is capable of wiping Linux machines.

Figure …

TeamSpy: Backdoor to the Viewer

Hacker Medic March 20, 2013 No Comments

Today, the Laboratory of Cryptography and System Security (Crysys) at Budapest University of Technology and Economics, released their research around a targeted attack they have identified, named TeamSpy. Symantec has had protections in place for …

South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack

Hacker Medic March 20, 2013 No Comments

It has been reported in the media that several South Korean banks and local broadcasting organizations have been impacted by a cyber attack.

The attack included the defacement of a Korean ISP/telecoms provider and also the crippling of servers belonging to a number of organizations.

The defacement displays an elaborate animated Web page with sound effects, showing three skulls and included a message by the claimed attackers calling themselves the “Whois” team.

The attack was first noticed when a number of websites began to experience problems. Customers of banks could not access their online accounts and reports of other sites being down began to surface. While specific details are not known at this time, it has been reported that a number of sites affected had their hard drives wiped leaving the affected computers in a crippled state.

Symantec detects the suspected malware as Trojan Horse/Trojan.Jokra and WS.Reputation.1.

We are currently performing detailed analysis of it. At this time, we can confirm that the malware performs the following actions:

Creates a file mapping object to reference itself using the name: JO840112-CRAS8468-11150923-PCI8273V
Kills two processes relating to local antivirus/security product vendors:
- pasvc.exe
- clisvc.exe
Enumerates all drives and begins to overwrite MBR and any data stored on it by writing the either the string “PRINCPES” or “HASTATI”. This will wipe all contents of the hard disk.
The threat may also attempt to perform the same wiping actions on any drives attached or mapped to the compromised computer.
Forces the computer to reboot by executing “shutdown -r -t 0” which renders the system unusable as MBR and contents of the drive is now missing.

The results of the disk wiping actions are consistent with the major outages reported in that region. Disk wiping is not a new activity, in a separate incident in August 2012, a number of middle eastern organizations were hit by the W32.Disttrack (Shamoon) threat which caused a similar type of damage by wiping hard disks.

There are currently no indications of the source of this attack or how the attackers infiltrated the affected parties. The real motives of the attack are also unclear but in recent times there has been a ramping up of political tensions in the Korean peninsula and these attacks may be part of either a clandestine attack or the work of nationalistic hacktivists taking issues into their own hands.

Symantec will publish further information as it becomes available.

Blackhole Exploit Kit Takes Advantage of Cypriot Financial Crisis

Hacker Medic March 20, 2013 No Comments

In recent days, the European Union (EU) financial crisis has taken a dramatic turn. Cyprus, one of the EU’s smallest member states by population, announced plans to impose a one-off levy of up to 10 percent on ordinary bank deposits. Banks across the island state have been closed while the unprecedented measures are debated in the country’s parliament. Meanwhile, anxious bank account holders—ordinary people, not bond holders or investors in Cypriot banks—await news of what will happen to their savings.

The notorious Blackhole Exploit Kit, previously featured in several posts on this blog, has started exploiting the public concern about this situation by sending out emails claiming to be news stories related to the unfolding situation.

Figure 1. Blackhole Exploit Kit malicious email

The message claims to be from the British Broadcasting Corporation (BBC) news site’s article recommendation service. The sending address has been spoofed, as have certain BBC recommendation message headers.

These messages link to a landing page with the title “Cyprus Crysys [sic] – BBC” that pretends to actually be from the British Broadcasting Corporation. This page also states: “You will be redirected to news”.

Figure 2. Blackhole Exploit Kit’s fake BBC news landing page

The page actually redirects to a familiar Blackhole Exploit Kit page which attempts several exploits, targeting vulnerabilities in Adobe Flash Player, Adobe Acrobat Reader, and Java. After several seconds, a timer function is run which then redirects the user to the real BBC website.

Figure 3. Blackhole Exploit Kit’s obfuscated JavaScript targets vulnerabilities

As mentioned, Cyprus is one of the smallest member state in the EU, but the impact of events there have broader implications. Many people in Greece moved money to Cyprus during Greek’s recent financial and political instability, believing their money would be safer there. Cyprus is also a popular offshore center for Russian business.

The parliament in Cyprus has since rejected the proposed tax, and a prominent North American bank is now being used as social-engineering content for new Blackhole Exploit Kit emails—demonstrating how quickly malware authors can respond to current affairs.

Symantec.cloud has identified more than 50 compromised websites redirecting to this latest Blackhole Exploit Kit social-engineering attack.

The New Black: Facebook Black Scam Spreads on Facebook

Hacker Medic March 19, 2013 No Comments

Yesterday, Facebook users may have noticed an influx of their friends posting about something called Facebook Black.

Figure 1. Facebook photo plugging “Faecbook” Black (notice the typo in this image)

Similar to previous sca…

Pope Themed Spam Attacks Lead to Malware

Hacker Medic March 19, 2013 No Comments

Contributor: Saurabh Farkade
The Vatican City has been in the news a lot in the past few weeks due to Benedict XVI’s resignation and the election of Pope Francis. Spammers have picked up on this opportunity for spreading malware.
Symantec Securit…

??????????????????? Android.Uracto

Hacker Medic March 19, 2013 No Comments

Android.Uracto という悪質なアプリが、感染を広げる目的で、あるいはユーザーを欺いて、ありもしないサービスの利用料金を支払わせようとしてスパム SMS メッセージを送信していることは、1 つ前のブログでお伝えしたとおりです。この攻撃について調査を進めたところ、同じ詐欺グループがさらに別のアプリをいくつも用意していることが判明しました。これまでのところ、このグループが管理していると見られるいくつかの専用ドメインに合計 10 種類のアプリがホストされていることが確認されています。ドメインのホストに使われているサーバーは、シンガポールと、米国ジョージア州に置かれているようです。この記事の執筆時点でもまだ有効になっています。

図 1. 10 種類のアプリのマーケットページ

アプリの見かけはすべて異なりますが、基本的には 3 つの亜種に分類されます。1 つ目は、デバイスの連絡先に登録されているデータを盗み出すタイプです。2 つ目は、やはり連絡先情報を盗み出しますが、それに加えて、悪質なアプリのダウンロードリンクを含む SMS メッセージをすべての連絡先に送信します。3 つ目は、連絡先情報を盗み出しつつ、被害者を欺いて偽のサービス利用料金を支払わせようとするタイプです。

アプリの見かけ上のタイプとしては、母親向けの子育て支援アプリから、ビデオゲームのエミュレータ、無料で漫画を読めるアプリ、有名人のゴシップを読めるアプリ、占いアプリ、アダルト系の動画ビューア、そしてデバイスのカメラで服が透けて見えると謳うアプリなどが存在します。

図 2. 10 種類のアプリのアイコン

現時点で、Android デバイスユーザーがこれらのサイトに誘導される経路はわかっていません。ネットを閲覧している間にこれらのサイトに行き着く場合もありますが、おそらくはスパムが使われているものと考えられます。日本では、Android の脅威をダウンロードするよう誘導されるケースの多くが、スパムを経由したものだからです。

一部のアプリは、しばらく前から出回っていたようで、アプリをホストしているサーバーのディレクトリリストを見ると、早いものは 2012 年 7 月にサーバーにホストされていました。

図 3. アプリをホストしているサーバーのディレクトリリスト

もうひとつ注目すべき点は、Android.Uracto が、現在も盛んに活動を続けている Android Maistealer や Android.Enesoluty と同じコードを共有していることです。Android.Maistealer は Android.Enesoluty のプロトタイプとして作成されたとシマンテックでは考えています。これについて詳しくは、以下のブログをお読みください。

これらの悪質なアプリは、すべて同じ詐欺グループの手で運用されているのでしょうか。それとも同じ作成者が雇われて 2 つのグループにマルウェアを提供しているのでしょうか。シマンテックは今後もこれらに関する調査を続け、最新の情報をお届けする予定です。

???????????????? Android ?????

Hacker Medic March 19, 2013 No Comments

Android デバイス搭載のカメラで衣服が透けて見えるアプリ。そんな謳い文句でユーザーを誘う SMS メッセージが日本で出回っています。この種のスパムはマルウェアの作成者自身から送信されるのが普通ですが、今回の作成者は、デバイスの連絡先に保存されている電話番号に宛てて SMS でスパムメッセージを送信するアプリを開発しました。アプリのダウンロードを誘う言葉が、赤の他人ではなく知人から届くのですから、このようなスパムを信じ込んでも無理はないかもしれません。友人から勧められたアプリなら、ひとまず試してみるくらいの気にはなるものです。

図 1. 感染したデバイスの所有者から送信された SMS メッセージ

リンクをタップすると、「Infrared X-Ray」という名前のアプリに誘導されます。このアプリでは、デバイスのカメラから服越しに透視することができ、その写真さえも撮影できると謳われています。

図 2. 悪質なアプリがホストされているページのスクリーンショット

このアプリを実行すると、デバイスの連絡先に保存されている情報が所定のサーバーにアップロードされます。もちろん、宣伝文句どおりにアプリが動作するはずもなく、中指を立てて人を侮蔑しながらユーザーをスケベ呼ばわりする男性の写真が表示されるだけです。

図 3. 「このスケベ野郎!」

このアプリには亜種がいくつか存在することも確認されており、最新の亜種には興味深いペイロードが追加されています。被害者の友人や家族に SMS メッセージを送信するのではなく、日本で「ワンクリック詐欺」と呼ばれている手口と同様に被害者を欺こうとします。連絡先データを盗み出してマルウェアの作成者に送信する点は変わりませんが、この新しい亜種はアダルトコンテンツをホストしている Web サイトの登録情報をダウンロードして表示します。以前の亜種のようにカメラ機能をオンにしようとはせず、1、2 秒間だけスプラッシュ画面を表示します。そして、次の瞬間には登録が完了したというメッセージとともに、「サービス利用料金」と称して 29,000 円が請求されます。

図 4. 登録情報

同時に、支払方法が詳しく記載された SMS メッセージも送られてきます。このメッセージには、「利用料金」の支払いがなければ連絡先リストに登録されている友人や知人に連絡するという脅しが書かれています。アプリは、アンインストールしない限り登録情報を表示し続け、被害者の連絡先に対しても SMS メッセージの送信をやめません。アプリをアンインストールしにくくするために、初回の起動後はランチャーから削除されますが、［設定］の［アプリケーション］から削除することができます。

図 5. 支払いの詳細を示す SMS メッセージ

デバイスや情報を保護するために、不明な送信者からだけでなく既知の送信者からであっても、疑わしい電子メールや SMS メッセージなどに記載されているリンクをクリックすることは避けてください。また、アプリは必ず信頼できるベンダーからのみダウンロードするようにしてください。ノートンモバイルセキュリティや Symantec Mobile Security などシマンテックのセキュリティアプリをインストール済みのお客様は、この脅威（Android.Uracto として検出されます）から保護されています。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト（英語）を参照してください。

Android.Uracto Used to Trick Mothers, Anime Fans, Gamers, and More

Hacker Medic March 18, 2013 No Comments

Earlier today, we blogged about Android.Uracto, a malicious app that sends spam SMS messages in an attempt to infect others or scam users into paying a fee for a non-existing service. We continued doing further investigation on the attack and this has …