Category Archives: Security Response News

Internet Explorer 10 ????????????

      No Comments on Internet Explorer 10 ????????????

シマンテックは現在、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査しています。これは、米国の Web サイトに侵入し、それをホストとして利用した「水飲み場型」攻撃のようです。無警戒なユーザーが水飲み場型攻撃の Web サイトにアクセスすると、ゼロデイ攻撃がホストされている別の侵入先の Web サイトにリダイレクトされます。

シマンテックはこのゼロデイ脆弱性の可能性について、攻撃経路や関連するサンプルの解析を続けています。初期の解析によって、Adobe Flash の悪質な SWF ファイルに、32 ビット版の Windows 7 と Internet Explorer 10 を標的にしていると思われるシェルコードが含まれていることがわかりました。被害者のデスクトップのスクリーンショットを撮り、攻撃者が被害者のコンピュータを制御できるようになるバックドアも特定されています。シマンテックはこのファイルを Backdoor.Trojan として検出します。

また、今回の水飲み場型攻撃に対して以下の IPS 定義も提供しています。

シマンテックセキュリティレスポンスは現在、この問題について Microsoft 社と連携しており、保護対策の更新を予定しています。引き続き、このブログで情報更新をご確認ください。

更新: 2014 年 2 月 14 日

このゼロデイ攻撃の可能性に関連するファイルについて新しい情報があります。

危殆化した Web サイトにインジェクトされた iframe によって読み込まれる悪質な .html ページは、Trojan.Malscript として検出されます。この悪質な .html ページは、リモートサイトから PNG ファイルをダウンロードする Flash ファイル (Trojan.Swifi として検出されます) を実行します。PNG ファイルを開くと、無害そうに見えるソフトウェアのロゴが表示されますが、実際には暗号化された 2 つのファイルが画像ファイルの末尾に添付されています。そのうちの 1 つは DLL ファイルで、その唯一の目的は、最初に説明したペイロードであるもう一方のファイルを実行することです。この DLL は Trojan Horse として検出され、ペイロードの検出名は Backdoor.Trojan から Backdoor.Winnti.B に変更されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Potential Internet Explorer 10 Zero-Day Vulnerability

      No Comments on Potential Internet Explorer 10 Zero-Day Vulnerability

Symantec is currently investigating reports of a potential zero-day exploit affecting Internet Explorer 10 in the wild. This appears to be a watering hole attack that was hosted on a compromised website in the United States. The watering hole attack website redirected unsuspecting users to another compromised website that hosted the zero-day attack.

We continue to analyze the attack vector and associated samples for this potential zero-day. Our initial analysis reveals that the Adobe Flash malicious SWF file contains shell code that appears to be targeting 32-bit versions of Windows 7 and Internet Explorer 10. We have identified a back door being used in this attack that takes screenshots of the victim’s desktop and allows the attacker to take control of the victim’s computer. We identify and detect this file as Backdoor.Trojan.

Symantec also has the following IPS coverage for this watering hole attack:

Symantec Security Response is currently working with Microsoft on this issue and will continue to update our protections. Please monitor our Security Response blog for further developments.

???????????????????? Snapchat ????????

      No Comments on ???????????????????? Snapchat ????????

写真共有アプリ Snapchat を利用したスパムの最近の傾向として、フルーツやフルーツ系ドリンクのスパム写真がユーザーの連絡先に送信されるケースが増えています。写真のリンク先は、「Frootsnap」や「Snapfroot」という Web サイトです。

Snapchat Fruit 1 edit.png

図 1. Snapchat 上のフルーツスパム

シマンテックは数カ前から Snapchat スパム追跡していますが、偽アカウントからではなく実在するユーザーのアカウントからスパムが送信されたのは、今回が初めてです。アカウントが危殆化してダイエットスパムを送信させられているのです。

Instagram をお使いであれば、昨年の夏に同様の攻撃活動があったことを思い出されるかもしれません。大量のアカウントが危殆化し、奇跡のダイエットフルーツという謳い文句で今回と同じような画像やメッセージが投稿されたことがありました。

frootsnap.com または snapfroot.com という Web サイトにアクセスさせられた Snapchat ユーザーは、偽のページにリダイレクトされます。これは Groupon の商品案内サイトに似たテンプレートをコピーしたページで、30 日分の減量サプリメントを無料進呈するとも書かれています。典型的なダイエット薬品スパムです。

Snapchat Fruit 2.png

図 2. 減量サプリメントを進呈すると謳う Web サイト

このサイトは Groupon とアフィリエイト関係があるわけではなく、信憑性を持たせるために「いいね」ボタンが設置されています。無料のサプリメントをもらおうとすると、securehlthbuyer.com という 2 番目のサイトにリダイレクトされます。このサイトは securebuyerpath2.com という、過剰な請求をめぐって苦情が寄せられているサイトと関連しています。

現時点で、シマンテックは正規のアカウントが危殆化した経緯を確認していません。シマンテックは、このブログを公開する前に Snapchat 社に連絡して調査に協力しています。調査は今も継続中ですが、Snapchat 社からは以下の声明が届いています。

「Snapchat において昨日、ユーザー数は少ないながらも、そのアカウントから不審な写真が送信されるというスパム事案が発生しました。弊社セキュリティチームはアカウントを保護するための措置を追加しました。悪用を避けるために、強力かつ固有のパスワードをお使いください」

また、スパムメッセージを止めようとして Snapchat アプリを端末から削除したが、スパムは止まらなかったというユーザーの報告も受けています。自分のアカウントからこのようなスパムメッセージが送信されていることを確認した場合は、ただちにパスワードを変更するのが最善の対策です。

Snapchat Fruit 3.png

図 3. Snapchat のパスワードの変更方法

Snapchat のパスワードを変更するには、Snapchat の Web フォームまたはアプリ内で、[Settings]の[Support]セクションに進んでください(図 3)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????Microsoft Patch Tuesday?- 2014 ? 2 ?

      No Comments on ?????????????Microsoft Patch Tuesday?- 2014 ? 2 ?

今月のマイクロソフトパッチリリースブログをお届けします。今月は、31 件の脆弱性を対象として 7 つのセキュリティ情報がリリースされています。このうち 25 件が「緊急」レベルです。

いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。

  • ベンダーのパッチが公開されたら、できるだけ速やかにインストールする。
  • ソフトウェアはすべて、必要な機能を使える最小限の権限で実行する。
  • 未知の、または疑わしいソースからのファイルは扱わない。
  • 整合性が未知の、または疑わしいサイトには絶対にアクセスしない。
  • 特定のアクセスが必要な場合を除いて、ネットワークの周辺部では重要なシステムへの外部からのアクセスを遮断する。

マイクロソフトの 2 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms14-feb

今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。

  1. MS14-010 Internet Explorer 用の累積的なセキュリティ更新プログラム(2909921)

    Internet Explorer の特権昇格の脆弱性(CVE-2014-0268)MS の深刻度: 重要

    ローカルファイルインストールを検証するとき、またはレジストリキーを安全に作成するときに、Internet Explorer に特権昇格の脆弱性が存在します。

    VBScript のメモリ破損の脆弱性(CVE-2014-0271)MS の深刻度: 緊急

    VBScript エンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。現在のユーザーが管理者ユーザー権限でログオンしている場合は、この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

    Internet Explorer にクロスドメインの情報漏えいの脆弱性(CVE-2014-0293)MS の深刻度: 重要

    Internet Explorer に情報漏えいの脆弱性が存在するため、攻撃者は他のドメインまたは Internet Explorer ゾーンの情報にアクセスできる場合があります。攻撃者が、特別に細工された Web ページを作成してこの脆弱性を悪用すると、ユーザーがその Web サイトを開いたときに情報が漏えいしてしまいます。攻撃者がこの脆弱性の悪用に成功すると、他のドメインまたは Internet Explorer ゾーンからコンテンツを閲覧できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0267)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0269)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0270)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0272)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0273)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0274)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0275)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0276)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0277)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0278)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0279)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0280)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0281)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0283)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0284)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0285)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0286)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0287)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0288)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0289)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

    Internet Explorer のメモリ破損の脆弱性(CVE-2014-0290)MS の深刻度: 緊急

    Internet Explorer のメモリ内のオブジェクトへのアクセスが不適切な場合に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。

  2. MS14-011 VBScript スクリプトエンジンの脆弱性により、リモートでコードが実行される(2928390)

    VBScript のメモリ破損の脆弱性(CVE-2014-0271)MS の深刻度: 緊急

    VBScript エンジンがメモリ内のオブジェクトを処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。現在のユーザーが管理者ユーザー権限でログオンしている場合は、この脆弱性の悪用に成功した攻撃者が、影響を受けるシステムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。

  3. MS14-007 Direct2D の脆弱性により、リモートでコードが実行される(2912390)

    Microsoft Graphics コンポーネントのメモリ破損の脆弱性(CVE-2014-0263)MS の深刻度: 緊急

    影響を受ける Windows コンポーネントが、特別に細工された 2D の幾何学図形を処理する方法に、リモートコード実行の脆弱性が存在します。この脆弱性により、特別に細工された図形を含むファイルをユーザーが Internet Explorer を使用して開いた場合に、リモートでコードが実行される場合があります。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムを完全に制御できる恐れがあります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。

  4. MS14-008 Microsoft Forefront Protection for Exchange の脆弱性により、リモートでコードが実行される(2927022)

    RCE の脆弱性(CVE-2014-0294)MS の深刻度: 緊急

    Forefront Protection for Exchange にリモートコード実行の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、構成されているサービスアカウントのセキュリティコンテキストで任意のコードを実行できる場合があります。

  5. MS14-009 .NET Framework の脆弱性により、特権が昇格される(2916607)

    POST 要求の DoS の脆弱性(CVE-2014-0253)MS の深刻度: 重要

    Microsoft ASP.NET にサービス拒否の脆弱性が存在するため、攻撃者の攻撃が可能になり、ASP.NET サーバーが応答しなくなる可能性があります。

    型トラバーサルの脆弱性(CVE-2014-0257)MS の深刻度: 重要

    Microsoft.NET Framework に特権昇格の脆弱性が存在するため、攻撃者は標的となったシステムで特権を昇格できる可能性があります。

    VSAVB7RT ASLR の脆弱性(CVE-2014-0295)MS の深刻度: 重要

    Address Space Layout Randomization(ASLR)を適切に実装しない .NET Framework コンポーネントに、セキュリティ機能回避の脆弱性が存在します。この脆弱性により、攻撃者は ASLR セキュリティ機能を回避し、その後、プロセス内に悪質なコードを追加で読み込み、別の脆弱性を悪用しようとする可能性があります。

  6. MS14-005 Microsoft XML コアサービスの脆弱性により、情報漏えいが起こる(2916036)

    MSXML の情報漏えいの脆弱性(CVE-2014-0266)MS の深刻度: 重要

    情報漏えいの脆弱性が存在するため、攻撃者はユーザーのローカルファイルシステムのファイルを読み取ったり、ユーザーが現在認証されている Web ドメインのコンテンツを読み取る可能性があります。Internet Explorer を介して MSXML を呼び出すように特別に細工された Web コンテンツをユーザーが表示した際に、攻撃者がこの脆弱性を悪用する可能性があります。

  7. MS14-006 IPv6 の脆弱性により、サービス拒否が起こる(2904659)

    TCP/IP Version 6(IPv6)のサービス拒否の脆弱性(CVE-2014-0254)MS の深刻度: 重要

    Windows における TCP/IP の IPv6 実装に、サービス拒否の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムが応答を停止する可能性があります。

今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Snapchat Fruit Spam Delivered by Real, Compromised Accounts

      No Comments on Snapchat Fruit Spam Delivered by Real, Compromised Accounts

In the latest Snapchat spam developments, an increasing number of the photo-sharing app’s users have been sending out spam pictures of fruits or fruit-based drinks to their contacts, which directs them to websites called “Frootsnap” and “Snapfroot”.

Snapchat Fruit 1 edit.png

Figure 1. Fruit spam on Snapchat

While Symantec has been tracking Snapchat spam for months, this is the first case in which the spam does not originate from fake accounts, but those belonging to real users. These accounts have been compromised to push diet spam.

Instagram users might recall similar campaign last summer, where a number of accounts were compromised to post similar images and messages, extolling the virtues of a miracle diet fruit.

Snapchat users visiting the websites frootsnap.com or snapfroot.com will be redirected to a fake page which has copied the template similar to a Groupon deal website. The page also claims to offer a free 30-day supply of a weight-loss supplement, commonly referred to as diet pill spam.

Snapchat Fruit 2.png

Figure 2. Website claims to offer weight-loss supplements

The site has no affiliation with Groupon, but uses its likeness to make the offer seem legitimate. If users try to redeem these free pills, they are redirected to a secondary site called securehlthbuyer.com. This site has been associated with securebuyerpath2.com, which has received complaints about excessive charges.

As of now, Symantec does not know how the legitimate accounts were compromised. We reached out to Snapchat before this blog was published to assist them in their investigation, and while we continue to work with them, they provided us with the following statement:

“Yesterday a small number of our users experienced a spam incident where unwanted photos were sent from their accounts. Our security team deployed additional measures to secure accounts. We recommend using unique and strong passwords to prevent abuse.”

We also came across reports of Snapchat users deleting the app from their phone hoping the spam messages would cease. However, this will not stop the spam. If your account has been caught sending out these spam messages, the best thing to do is to change your password immediately.

Snapchat Fruit 3.png

Figure 3. How to change your Snapchat password

You can change your Snapchat password through the Snapchat web form or through the application itself, by navigating to the Support section under Settings, as shown in Figure 3.

Ataques contra o setor de energia

      No Comments on Ataques contra o setor de energia

A energia é crucial para o nosso estilo de vida moderno. Entretanto, relatos de tentativas de ataques virtuais contra as empresas fornecedoras estão aumentando a cada ano. No primeiro semestre de 2013, o setor de energia foi o quinto mais visado em todo o mundo, sendo alvo de  7,6 % de todos os ataques cibernéticos. Assim, não é surpreendente que, em maio de 2013, o Departamento de Segurança Interna dos EUA alertou para uma crescente onda de ataques que visavam sabotar processos em empresas de energia. Na Symantec, nossos pesquisadores descobriram que as concessionárias de energia tradicionais estão particularmente preocupadas com os cenários criados por ameaças como Stuxnet ou Disttrack / Shamoon, que podem danificar instalações industriais.

Nós também descobrimos que os agressores que têm como alvo o setor de energia ainda tentam roubar a propriedade intelectual sobre novas tecnologias, como geradores de energia solar ou eólica, ou ainda gráficos de exploração de campos de gás. Enquanto incidentes de roubo de dados podem não representar uma ameaça imediata e catastrófica para uma empresa, eles podem criar uma ameaça estratégica de longo prazo. Informações roubadas poderão ser usadas no futuro para realizar ações mais graves.

As motivações e origens de ataques podem variar consideravelmente. Um competidor pode “encomendar” ações danosas contra as empresas de energia para ganhar uma vantagem injusta. Há grupos de “hackers para contratar”, como o grupo Hidden Lynx, que estão mais do que dispostos a se engajar nesse tipo de atividade. Hackers patrocinados pelo Estado podem ter como alvo as empresas de energia em uma tentativa de desativar sua infraestrutura crítica. Grupos “hacktivistas” também podem vitimar empresas para promover seus próprios objetivos políticos. Pesquisadores da Symantec sabem que estas ameaças podem ser provenientes de todo o mundo e, por vezes, de dentro da própria empresa. Funcionários que estão familiarizados com os sistemas podem realizar ataques para extorsão, suborno ou vingança. Além disso, interrupções podem simplesmente acontecer por acidente, como um erro de configuração ou uma falha do sistema. Por exemplo, em maio de 2013, a rede de energia austríaca quase teve um apagão devido a um problema de configuração.

Nossa pesquisa concluiu que os sistemas de energia modernos estão se tornando mais complexos. Há controle de supervisão e aquisição de dados (SCADA), ou sistemas de controle industrial (ICS) que estão fora dos padrões de segurança tradicionais. E como a tecnologia smart grid , ou rede inteligente, continua a ganhar impulso, cada vez mais sistemas de energia serão conectados à Internet das Coisas, o que abre novas vulnerabilidades de segurança relacionadas a inúmeros dispositivos conectados. Além disso, muitos países começaram a abrir seu mercado de energia e adicionar contribuintes menores para a rede de energia elétrica, como usinas de água privada, turbinas eólicas ou painéis solares. Embora essas empresas menores representem apenas uma pequena parte da grade, a entrada de energia descentralizada pode ser um desafio para gerenciar os recursos de TI limitados e precisam ser cuidadosamente monitorados para evitar pequenas falhas que poderiam criar um efeito dominó em toda a grade maior.

Vemos a necessidade de uma abordagem colaborativa, que combine o componente industrial e a segurança para proteger as informações do setor. Para ajudar neste processo, a Symantec realizou um estudo em profundidade sobre ataques focados no setor de energia que ocorreram nos últimos 12 meses. Esta pesquisa apresenta fatos e números, e abrange os métodos, motivações e história desses ataques.

Faça o download do whitepaper.

O infográfico a seguir ilustra os principais pontos a respeito dos ataques contra as indústrias do setor de energia.

infographic_attacks.jpg

???????????????

      No Comments on ???????????????

スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。

一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。

  • 差出人: [削除済み] <Leila.Day@[削除済み]>
  • 差出人: [削除済み] <CharlotteTate@[削除済み]>
  • 差出人: [削除済み] <Diana.Pope@[削除済み]>
  • 差出人: [削除済み] <SamuelLambert@[削除済み]>
  • 差出人: [削除済み] <Jackson.Garza@[削除済み]>
  • 差出人: [削除済み] <JohnathanParsons@[削除済み]>
  • 差出人: [削除済み] <EliasTaylor@[削除済み]>

これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。

Spammers Office 1.png

図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ

このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。

2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。

1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。

Spammers Office 2.png

図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル

Spammers Office 3.png

図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部

「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。

Spammers Office 4.png

図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問

ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。

Spammers Office 5.png

図 5. 70 号室の所有者は現在、Sutherland Global Services となっている

掲載されている番号に電話を掛けても通じません。netops@nthair.com 宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。

「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。

Spammers Office 6.png

図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル

Spammers Office 7.png

図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部

ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。

Spammers Office 8.png

図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ

この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。

今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Mask???????

      No Comments on The Mask???????

 

The Mask 1.png

最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask(ザ・マスク)」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。

The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。

活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。

標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV(履歴書)や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。

  • Inspired By Iceland.doc
  • DanielGarciaSuarez_cv_es.pdf
  • cv-edward-horgan.pdf

添付ファイルを開くと、正規の文書に見える内容が表示されますが、実際には悪質なリモートアクセス型のトロイの木馬(RAT)もインストールされ、侵入を受けたコンピュータへの完全なアクセスを許してしまいます。侵入に成功すると、The Mask は追加のツールをインストールし、持続性を強化してサイバースパイ活動を続けられるようになります。

サイバースパイ – 専門的なツール類
The Mask は、自由に使える一連のツール類を所有しています。なかでも、このグループを典型的なサイバー犯罪とかけ隔てている特徴と言えるのが、Backdoor.WeevilB というツールです。これは、モジュール型の性質とプラグインアーキテクチャを備えた高度なサイバースパイツールであり、無数の設定オプションが用意されています。DuquFlamerMiniDuke といった他の高度な攻撃活動を連想させますが、The Mask がそれらの活動と関連している証拠は見つかっていません。

デフォルトで、相互通信、ネットワーク盗聴、活動監視、データ抽出、ルートキット機能などに特化した 20 近いモジュールがインストールされます。

The Mask 2.png

図. The Mask のモジュールの一部

追加モジュールのダウンロードと即時のロードは、プラグインアーキテクチャによって実現されています。Backdoor.WeevilB は主要なブラウザのすべてにおける活動をログに記録し、膨大な拡張子のリストに基づいて情報を収集します。Backdoor.WeevilB の標的となる文書の種類は、以下のとおりです。

  • Word、PDF、Excel
  • 暗号化ファイル、PGP キー、暗号化キー
  • モバイルバックアップファイル
  • 電子メールアーカイブ

収集された情報は、HTTPS プロトコルを使って、攻撃者が管理するサーバーに安全に送信されます。

データを盗み出すコンポーネントが、The Mask の標的に関する手掛かりになっています。「archivos de programa」のようなスペイン語のパス名で文書を検索していることから、標的ではスペイン語のオペレーティングシステムが実行されていると考えられます。

まとめ
専門的なチームが展開するサイバースパイ活動は、増加傾向にあります。この数年の間で、Flamer、MiniDuke、Hidden Lynx といった何年間も持続するスパイ活動がいくつも明らかになってきました。The Mask も、こうした名だたるマルウェアに連なるものですが、高度な攻撃活動の標的が多様化していることも示しています。これらの攻撃と時を同じくして、スパイ活動に使われるツールを開発する企業も登場しており、Hacking Team や Gamma International といった企業が、高度な監視機能を持つリモートアクセスツール群を販売しています。こうしたことからも、地理的にも技術的にもサイバースパイ活動が広がりつつあることは明白です。

保護対策
シマンテックは、この脅威に対して以下の検出定義を提供しています。

また、次の侵入防止シグネチャでネットワーク保護も提供しています。

System Infected: Backdoor.Weevil Activity

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Microsoft Patch Tuesday – February 2014

      No Comments on Microsoft Patch Tuesday – February 2014

Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing seven bulletins covering a total of thirty-one vulnerabilities. Twenty-five of this month’s issues are rated ’Critical’.

As always, customers are advised to follow these security best practices:

  • Install vendor patches as soon as they are available.
  • Run all software with the least privileges required while still maintaining functionality.
  • Avoid handling files from unknown or questionable sources.
  • Never visit sites of unknown or questionable integrity.
  • Block external access at the network perimeter to all key systems unless specific access is required.

Microsoft’s summary of the February releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms14-feb

The following is a breakdown of the issues being addressed this month:

  1. MS14-010 Cumulative Security Update for Internet Explorer (2909921)

    Internet Explorer Elevation of Privilege Vulnerability (CVE-2014-0268) MS Rating: Important

    An elevation of privilege vulnerability exists within Internet Explorer during the validation of a local file installation and during the secure creation of registry keys.

    VBScript Memory Corruption Vulnerability (CVE-2014-0271) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

    Internet Explorer Cross Domain Information Disclosure Vulnerability (CVE-2014-0293) MS Rating: Important

    An information disclosure vulnerability exists in Internet Explorer that could allow an attacker to gain access to information in another domain or Internet Explorer zone. An attacker could exploit the vulnerability by constructing a specially crafted webpage that could allow an information disclosure if a user viewed the webpage. An attacker who successfully exploited this vulnerability could view content from another domain or Internet Explorer zone.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0267) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0269) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0270) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0272) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0273) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0274) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0275) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0276) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0277) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0278) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0279) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0280) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0281) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0283) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0284) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0285) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0286) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0287) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0288) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0289) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

    Internet Explorer Memory Corruption Vulnerability (CVE-2014-0290) MS Rating: Critical

    A remote code execution vulnerability exists when Internet Explorer improperly accesses an object in memory. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

  2. MS14-011 Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (2928390)

    VBScript Memory Corruption Vulnerability (CVE-2014-0271) MS Rating: Critical

    A remote code execution vulnerability exists in the way that the VBScript engine handles objects in memory. The vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

  3. MS14-007 Vulnerability in Direct2D Could Allow Remote Code Execution (2912390)

    Microsoft Graphics Component Memory Corruption Vulnerability (CVE-2014-0263) MS Rating: Critical

    A remote code execution vulnerability exists in the way that affected Windows components handle specially crafted 2D geometric figures. The vulnerability could allow a remote code execution if a user views files containing such specially crafted figures using Internet Explorer. An attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full administrative rights.

  4. MS14-008 Vulnerability in Microsoft Forefront Protection for Exchange Could Allow Remote Code Execution (2927022)

    RCE Vulnerability (CVE-2014-0294) MS Rating: Critical

    A remote code execution vulnerability exists in Forefront Protection for Exchange. An attacker who successfully exploited this vulnerability could run arbitrary code in the security context of the configured service account.

  5. MS14-009 Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2916607)

    POST Request DoS Vulnerability (CVE-2014-0253) MS Rating: Important

    A denial of service vulnerability exists in Microsoft ASP.NET that could allow an attacker to cause an ASP.NET server to become unresponsive.

    Type Traversal Vulnerability (CVE-2014-0257) MS Rating: Important

    An elevation of privilege vulnerability exists in the Microsoft.NET Framework that could allow an attacker to elevate privileges on the targeted system.

    VSAVB7RT ASLR Vulnerability (CVE-2014-0295) MS Rating: Important

    A security feature bypass exists in a .NET Framework component that does not properly implement Address Space Layout Randomization (ASLR). The vulnerability could allow an attacker to bypass the ASLR security feature, after which the attacker could load additional malicious code in the process in an attempt to exploit another vulnerability.

  6. MS14-005 Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2916036)

    MSXML Information Disclosure Vulnerability (CVE-2014-0266) MS Rating: Important

    An information-disclosure vulnerability exists that could allow an attacker to read files on the local file system of a user or read content of web domains where a user is currently authenticated to when the user views specially crafted web content that is designed to invoke MSXML through Internet Explorer.

  7. MS14-006 Vulnerability in IPv6 Could Allow Denial of Service (2904659)

    TCP/IP Version 6 (IPv6) Denial of Service Vulnerability (CVE-2014-0254) MS Rating: Important

    A denial of service vulnerability exists in Windows in the IPv6 implementation of TCP/IP. An attacker who successfully exploited this vulnerability could cause the affected system to stop responding.

More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.

My (Failed) Visits to Spammers’ Offices

      No Comments on My (Failed) Visits to Spammers’ Offices

One of the most popular methods of spamming is snowshoe spam, also known as hit and run spam. This involves spam that comes from many IP addresses and many domains, in order to minimize the effect of antispam filtering. The spammer typically sends a burst of such spam and moves to new IP addresses with new domains. Previously used domains and IP addresses are rarely used again, if ever.

Some spammers like to use a similar pattern across their spam campaigns. This blog discusses a particular snowshoe spam operation that I have labeled “From-Name snowshoe”. While there are other features in the message that allow the campaigns to be grouped into the same bucket, the messages’ most distinct feature is that all of the email addresses that appear in the “from” line use real names as their usernames. 

  • From: [REMOVED] <Leila.Day@[REMOVED]>
  • From: [REMOVED] <CharlotteTate@[REMOVED]>
  • From: [REMOVED] <Diana.Pope@[REMOVED]>
  • From: [REMOVED] <SamuelLambert@[REMOVED]>
  • From: [REMOVED] <Jackson.Garza@[REMOVED]>
  • From: [REMOVED] <JohnathanParsons@[REMOVED]>
  • From: [REMOVED] <EliasTaylor@[REMOVED]>

This From-Name snowshoe campaign had two interesting traits. The first was the timing. Over the course of a few months, I have noticed that this spam operation only sent messages on weekdays.

Spammers Office 1.png

Figure 1. Over 59 million spam messages have been identified since October 16, 2013.

After further investigating this timing, we discovered that the spam is only sent between 6am and 7pm Pacific Time. Coupled with the fact that messages were only sent during weekdays, this suggested that the operation could be part of a business.

The second trait was the IP addresses that were used for this spam run. As noted above, typical snowshoe spam does not return to the same IP addresses. However, analysis into the senders’ IP addresses revealed that the messages were coming from multiple IP addresses that were owned by the same entity. This organization is called “Network Operations Center,” which is based in Scranton, Pennsylvania, and it’s a well-known spam operation.

Last month, this spam operation began to send the same type of spam messages from IP addresses owned by other entities. One of them was “Nth Air, Inc.”. 

Spammers Office 2.png

Figure 2. Spam sample sent from IP addresses owned by other entities, including “Nth Air, Inc

Spammers Office 3.png

Figure 3. Email header snippet showing Nth Air, Inc’s IP address

While a simple online search for “Network Operations Center spam” produced many results discussing spam, a similar search for Nth Air did not have as many results. In fact, the company appears to have been a legitimate WiMAX provider in the past, as seen in this press release. I was unable to find news about the company in recent times, which led me to believe that the organization may no longer exist. However, ARIN records indicated that the company was based in San Jose, California, so I decided to visit its offices in the hopes of finding out more information about the organization.

Spammers Office 4.png

Figure 4. Visiting the building with address listed on Nth Air

I went to the suite that was listed online, but another company was using it.

Spammers Office 5.png

Figure 5. Suite 70 is now occupied by Sutherland Global Services

I called the phone number listed online to no avail. My email to netops@nthair.com bounced back because, “the recipient does not exist.” Bummer.

Since my visit to “Nth Air, Inc” did not work out as planned, I turned to “LiteUp, Inc”.

Spammers Office 6.png

Figure 6. Spam sample from LiteUp, Inc’s IP address

Spammers Office 7.png

Figure 7. Email header snippet showing LiteUp, Inc’s IP address

ARIN listings indicated that the company was located in Berkeley, California, so I went there for a visit. Unfortunately, I was unable to find LiteUp at the listed address.

Spammers Office 8.png

Figure 8. Address listed by LiteUp. It was a motorcycle store instead.

So that makes two instances of spammers using IP addresses owned by companies that do not exist, at least according to ARIN records.

I was unable to meet the spammers, or those who could be assisting spammers, but we are keeping a close watch to ensure that these spam messages do not reach end users’ inboxes.