They may be glamorous, but celebrities can make things quite ugly when it comes to the safety of your mobile device. Most have no idea that their “big name” has caused so much chaos to so many smartphones and tablets. Unfortunately, what usually starts as a simple search for the most recent celebrity affair or Read more…
On September 17, Microsoft issued an advisory reporting a new zero-day vulnerability in Internet Explorer: Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2013-3893). The advisory states that the vulnerability may corrupt memory in a way that could allow attackers to execute arbitrary code. The attack works by enticing users to visit specially crafted websites that host the vulnerability through Internet Explorer. Microsoft also states that at this time the vulnerability is known to be exploited in only a limited number of targeted attacks.
While Microsoft is yet to release a patch for this vulnerability, they have provided a temporary “Fix It” tool solution as a workaround until a security update is made available. To ensure Symantec customers are protected against this Internet Explorer zero-day, the following protection has been put in place:
Antivirus
Bloodhound.Exploit.513
Intrusion Prevention System
Web Attack: Microsoft Internet Explorer CVE-2013-3893
Web Attack: MSIE Memory Corruption CVE-2013-3893 3
Symantec will continue to investigate this attack to ensure the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.
過去数年間で、各種の標的型攻撃や APT(Advanced Persistent Threat)の背後に存在する集団の活動について、詳しい報告が目に付くようになってきました。シマンテックセキュリティレスポンスは、なかでも特に精鋭と考えられるグループについて監視を続けており、これを Hidden Lynx(謎の山猫)と命名しました。この名前はコマンド & コントロールサーバーとの通信で見つかった文字列に由来します。このグループの貪欲さと機動力は、APT1/Comment Crew といった、よく知られている他のグループと比べても飛び抜けており、次のような特徴があります。
同時に複数の標的に対して長期的に続いている執拗な攻撃活動に、こうした特徴が見て取れます。標的を待ち伏せる「水飲み場型」攻撃の先駆者であり、ゼロデイ脆弱性にもまっ先に目を付けます。そして、真の標的にたどり着くためにまずサプライチェーンに侵入するという、まるで熟練したハンター並の粘り強さも持ち合わせています。サプライチェーン攻撃を仕掛けるには、まず狙った標的組織のサプライヤのコンピュータに侵入します。そのうえで、感染したコンピュータが設置され、応答するのを待ちます。これは間違いなく冷静に計算し尽くされた行動であり、素人の衝動的な思いつきなどではありません。
このグループの攻撃は少数の標的に限定されているわけではなく、さまざまな地域で何百もの組織が同時に狙われることもあります。被害を受けた標的や地域の数と多様さを考えると、このグループは雇われのプロハッカー集団である可能性が高く、クライアントと契約して情報を提供しているものと推察されます。クライアントが望む情報を依頼に応じて盗み出しているため、標的が多様化しているのでしょう。
また、これほどの規模で攻撃を実行するためには、ハッキングに関して相当の専門知識を自在に操れることが必要です。グループにはおそらく 50 ~ 100 人規模の工作員が雇われており、それが少なくとも 2 つ別個のチームに編成され、異なるツールや技術を用いてそれぞれ別の活動に当たっていると考えられます。こうしたタイプの攻撃を実行するには時間と労力が必要であり、ときには攻撃に成功するために事前の調査と情報収集が必要な場合もあります。
このグループでも最前線に立っているのが、基本的ながらも効果的な手口と使い捨てのツールを利用してさまざまな標的を攻撃しているチームです。このチームは情報収集活動にも当たっており、使われているトロイの木馬にちなんで Team Moudoor と呼ばれています。Moudoor はバックドア型のトロイの木馬で、セキュリティ企業による検出を意に介することなく奔放に使われています。これとは別に、特殊作戦部隊のような機能を果たしているチームもあります。かつて、非常に貴重で厳重な標的に侵入したことのあるエリート集団です。このエリートチームは、Naid という名前のトロイの木馬を使っていることから、Team Naid と呼ばれています。Moudoor とは異なり、Naid は検出や捕捉を避けるために非常に慎重に使われています。さながら、絶対に失敗が許されない秘密兵器のようです。
このグループは、2011 年以降少なくとも 6 件の重大な活動に関わっていることが確認されています。特に有名なのが、2012 年 6 月の VOHO 攻撃です。この攻撃で特に注目に値するのは、水飲み場型攻撃の手口が使われたことと、Bit9 社の信頼済みファイル署名インフラが侵害されたことです。VOHO 攻撃の最終的な標的は米国の軍事企業で、そのシステムは Bit9 社の信頼ベースのソフトウェアで保護されていました。その保護機能によって攻撃が遮断されたときに、Hidden Lynx は作戦を見直し、保護をすり抜けるには保護システムの心臓部そのものに侵入して、自分たちの目的に合わせて悪用するのが一番だと気づきます。こうして Hidden Lynx は、Bit9 社に攻撃の目を向け、そのシステムを侵害したのです。侵害を果たした攻撃者は、Bit9 社の保護モデルの基盤であるファイル署名インフラへの侵入路も瞬時に見つけだします。そして、このシステムを使って多数のマルウェアファイルに署名し、さらにその署名済みのファイルを使って最終的な標的への侵入に成功しました。
さらに詳しい情報については、Hidden Lynx グループと、その攻撃活動について解説したホワイトペーパー(英語)を参照してください。
また、多くの被害をもたらしている同グループについて重要な情報をまとめた、以下の解説画像もご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In a blog post published back in June, we shared the stories of a few unfortunate people who were fired from their jobs or passed over for a job promotion because of over-sharing on social networks. If you are looking for a job and wonder why you are not getting a call back, it could […]
Just when parents figured out SnapChat, an app that makes photo texts disappear, two new apps hit the social scene that achieve the same objective on both Twitter and Facebook. Twitterspirit allows a Twitter user to set a time limit for a tweet before it “self-destructs” in their feed. By using a hashtag (#) denoting any Read more…
World’s largest pure play software security solution provider also celebrates 25th anniversary
World’s largest pure play software security solution provider also celebrates 25th anniversary
World’s largest pure play software security solution provider also celebrates 25th anniversary
For the past few years, reports have continued to emerge detailing the activities of actors behind various targeted attacks or Advanced Persistent Threats (APTs). Here at Symantec Security Response, we’ve been keeping our eyes on a group that we …
Many of you might wonder how the virus lab works. Who are those guys setting behind the computers and analyzing malicious files. Well let us unveil some of the virus lab secrets and break stereotypes: 1. Virus lab team, doesn’t work in the laboratory 2. Virus analytic are real, nice human beings, not robots 3. Yes […]