Tag Archives: Backdoor.Korplug

Internet Explorer ????????????????????

      No Comments on Internet Explorer ????????????????????

Microsoft が昨日パッチを公開したばかりの脆弱性(CVE-2015-2502)が、Korplug マルウェアを拡散する水飲み場型攻撃にすでに悪用されていました。

Read More

New Internet Explorer zero-day exploited in Hong Kong attacks

Bug patched by Microsoft yesterday (CVE-2015-2502) has already been exploited in watering hole attacks to deliver Korplug malware.Read More

CloudyOmega ??: ??????????????????????????????????

今回の攻撃は、LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりのある攻撃グループによって実行されています。

ジャストシステム社は、一太郎製品群(日本語オフィススイートソフトウェア)のゼロデイ脆弱性を修正するための更新を公開しました。この脆弱性は、日本の組織を標的とする攻撃で活発に悪用されています。

今回の攻撃では、悪質な一太郎文書ファイルが添付された電子メールが標的の組織に送信されます。シマンテック製品は、このファイルを Bloodhound.Exploit.557 として検出します。ペイロードには、Backdoor.EmdiviBackdoor.Korplug、または Backdoor.ZXshell が含まれている可能性がありますが、これらはすべて、侵入先のコンピュータから機密情報を盗み取るためのものです。

電子メールの内容は標的となる組織の業務に応じて異なりますが、いずれも最近の日本における政治的な出来事に関するものです。悪質な添付ファイルを一太郎で開くと、ペイロードが投下されるとともに文書が表示されます。この手の攻撃では、多くの場合、文書ビューアをクラッシュさせてから再起動してクリーンな文書を開くことによって、正規の文書に見せかけようようとします。今回の攻撃では、一太郎をクラッシュさせることなく文書を開いてペイロードを投下するため、被害者は、バックグラウンドで実際に起こっていることに気が付きません。

CloudyOmega
以前にブログで取り上げたとおり、パッチ未適用の一太郎の脆弱性に対する攻撃は、今に始まったことではありません。しかし、調査の結果、今回のゼロデイ攻撃は、日本のさまざまな組織を標的とする継続的なサイバースパイ攻撃の一環であることがわかっています。シマンテックは、この攻撃を CloudyOmega と名付けました。ペイロードとしては Backdoor.Emdivi の亜種が常に利用されており、すべての攻撃において電子メールに添付されて標的のコンピュータに送り込まれます。多くの場合、添付ファイルは、偽のアイコンが表示された単純な実行可能ファイルですが、一部のファイルは各種ソフトウェアの脆弱性を悪用しています。今回の一太郎の脆弱性は、その 1 つにすぎません。攻撃グループの主な目的は、標的の組織から機密情報を盗み取ることです。ここでは、一連の攻撃活動の時系列、感染経路、マルウェアのペイロード、そして攻撃を実行しているグループについて考察します。

活動の時系列
最初の攻撃は少なくとも 2011 年まで遡ります。図 1 は、標的となった業種と攻撃件数を年別に示しています。攻撃は初期には非常に慎重に実行されていましたが、2014 年になってから本格化しました。これまでのところ、CloudyOmega 攻撃で最も多く狙われているのは公共部門です。このことが、攻撃グループの正体を探るための手掛かりになるでしょう。

CloudyOmega 1 edit.png
図 1. 標的の業種と攻撃件数の内訳

攻撃経路
攻撃に利用されている主な感染経路は電子メールです。

CloudyOmega 2 edit.png
図 2. 攻撃に使用された電子メールの例

図 2 は最近の攻撃で使用された電子メールの一例で、一太郎のゼロデイ脆弱性を悪用する攻撃の前段階となるものです。添付されている zip ファイルはパスワードで保護されており、中にはマルウェアが含まれています。皮肉なことに、セキュリティの基本対策(ベストプラクティス)に従って、パスワードは別の電子メールで送信すると記載されていますが、これは、正規の信頼できる送信元から届いたと信じこませようとしているにすぎません。本文には、添付ファイルに医療費の通知が含まれていることが簡潔に記載され、添付ファイルを Windows コンピュータで開くよう求めています。zip 内のファイルには Microsoft Word のアイコンが表示されていますが、Windows エクスプローラで確認できるように、実際には実行可能ファイルです。

CloudyOmega 3 edit.png
図 3. 添付されている「文書」は実際には悪質な実行可能ファイル

ペイロード
ペイロードは Backdoor.Emdivi であり、侵入先のコンピュータでバックドアを開きます。このマルウェアは CloudyOmega による一連の攻撃でのみ利用されており、2011 年に日本の化学会社に対する攻撃で初めて確認されました。Emdivi を使うと、リモートの攻撃者は、HTTP を介してコマンドの実行結果をコマンド & コントロール(C&C)サーバーに送信することができます。

Emdivi の亜種にはそれぞれ一意のバージョン番号があり、タイプ S またはタイプ T のいずれかに属します。一意のバージョン番号があるのは、Emdivi が体系的に管理されている証拠です。さらに、バージョン番号に単語を追加したものをベースにハッシュ値が生成され、暗号化キーとして使用されています。

タイプ S とタイプ T では次の機能が共通しています。

  • リモートの攻撃者が HTTP を介してコードを実行できる
  • Internet Explorer に保存されている認証情報を盗み取る

CloudyOmega 攻撃で主に使用されているのは、タイプ T です。C++ プログラム言語で記述されており、2011 年に攻撃が開始されてから継続的に進化を重ねています。セキュリティ企業やネットワーク管理者から自身を保護するための技術を備え、接続先の C&C サーバーのアドレスや保護メカニズムなど、タイプ T の重要な部分は暗号化されています。また、次のような自動分析システムやデバッガの存在を検出します。

  • 仮想マシン
  • デバッガ
  • サンドボックス

一方、タイプ S が一連の攻撃で使用されたのは 2 回だけです。タイプ S は同じソースコードに基づく .Net アプリケーションで、C&C インフラをタイプ T と共用しています。しかし、活動を継続するために不可欠な保護メカニズムや暗号化機能は備えていません。タイプ S について興味深いのは、インターネットからランダムに取得したとみられる日本語の文を使ってファイルのハッシュ値を変更する機能です。たとえば、図 4 のように、特殊相対性理論を説明する文が使用されています。

CloudyOmega 4 edit.png
図 4. Emdivi のタイプ S の亜種で使用されている日本語の文

Emdivi の通信先
Emdivi は、感染すると、ハードコード化された C&C サーバーに HTTP プロトコルを介して接続します。

これまでに、58 種類の Emdivi の亜種から、重複を含まず合計 50 件のドメインが特定されています。C&C サーバーとして利用された Web サイトは、ほぼすべてが小規模企業が所有するサイトや個人ブログなど、侵害された日本の Web サイトです。50 件の Web サイトのうち、13 個の IP アドレスに分布する 40 件は、日本に拠点を置く単一のクラウドホスティングサービスでホストされています。

CloudyOmega 5.png
図 5. 侵害された複数の Web サイトが、単一の IP アドレスでホストされている

侵害されたサイトは、さまざまな Web サイトプラットフォーム上で Apache や Microsoft Internet Information Services(IIS)など各種の Web サーバーソフトウェアによってホストされています。このことから、単一のソフトウェア製品や Web サイトプラットフォームの脆弱性を突かれて侵害されたのではないことが分かります。攻撃者は何らかの手段でクラウドサービス自体を侵害して、複数の Web サイトを Backdoor.Emdivi の C&C サーバーとして改ざんしたのです。

侵害されたクラウドホスティング会社には通知済みですが、このブログの執筆時点ではまだ返答がありません。

シマンテックでは、感染したコンピュータと Emdivi の C&C サーバーとの間のネットワーク通信を検知して遮断するために、次の 2 つの IPS シグネチャを提供しています。

ゼロデイ脆弱性と他のサイバー犯罪グループとのつながり
調査を進めるなかで一連の攻撃に関連する複数のサンプルが特定されたことから、他の攻撃グループとのつながりが見えてきました。

2012 年 8 月、CloudyOmega の攻撃者は Adobe Flash Player と AIR に存在する copyRawDataTo() の整数オーバーフローの脆弱性(CVE-2012-5054)を悪用して、日本の有名な組織を標的とする攻撃を実行しています。攻撃者は、脆弱性を悪用するように細工された SWF ファイルを含む Microsoft Word ファイルを送信しました。脆弱性の悪用に成功すると Backdoor.Emdivi がインストールされます。CVE-2012-5054 は同月に公表されたものであり、この攻撃で利用された当時はゼロデイ脆弱性でした。

さらに興味深いことに、2012 年の Emdivi 攻撃で使用された Flash ファイルと 2013 年の LadyBoyle 攻撃で使用された Flash ファイルは、非常によく似ています。

図 6 は、Adobe Flash Player に存在するリモートメモリ破損の脆弱性(CVE-2013-0634)の悪用を試みる LadyBoyle() コードを実行する、不正な形式の SWF ファイルを示しています。この Flash ファイルは、CloudyOmega グループと同じフレームワークを使って作成されたと思われますが、別の悪用コードが組み込まれています。

CloudyOmega 6 edit.png
図 6. 2013 年 2 月の LadyBoyle 攻撃で使用された不正な形式の SWF ファイル

両方の攻撃において、バックドアをインストールするための Adobe Flash のゼロデイ悪用コードを含む .doc ファイルが使用されています。2 つの攻撃を関連付ける証拠は他にはありませんが、Elderwood プラットフォームのブログで説明したとおり、単一の上位グループから複数のサブグループが派生して、それぞれが特定の業種を狙っている可能性が高いと考えられます。

一太郎の脆弱性を悪用する今回の攻撃では、収集された JTD ファイルのサンプル十数件はすべて、ペイロード以外はまったく同一のものでした。上位グループが複数のサブグループに、攻撃ツールキットの一部としてゼロデイ悪用コードを提供し、各グループがそれぞれマルウェアを選択して別々に攻撃を実行したものと思われます。今回のゼロデイ攻撃で Backdoor.Emdivi、Backdoor.Korplug、Backdoor.ZXshell という 3 つの異なるペイロードが確認されているのは、このためでしょう。

fig9_0.png
図 7. ゼロデイ悪用コードを共有する上位グループ

結論
CloudyOmega 攻撃を実行しているグループは、LadyBoyle の実行グループや HiddenLynx など、他の悪名高い攻撃グループと密接なつながりがあります。CloudyOmega 攻撃は 2011 年から確認されており、日本の組織を狙って執拗に活動を継続しています。今回、ゼロデイ脆弱性を悪用した攻撃が実行されたということは、攻撃グループは当面の間、活動を停止する気配がないということです。シマンテックセキュリティレスポンスは CloudyOmega グループに対して注意深く監視を続けていきます。

保護対策
一太郎製品をお使いのお客様は、できるだけ早くパッチを適用することを強くお勧めします。

シマンテック製品をお使いのお客様は、次の検出定義によって、CloudyOmega に関連する攻撃から保護されています。

ウイルス対策

侵入防止システム

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operation CloudyOmega: Ichitaro zero-day and ongoing cyberespionage campaign targeting Japan

The campaign was launched by an attack group that has communication channels with other notorious attack groups including Hidden Lynx and the group responsible for LadyBoyle.

JustSystems has issued an update to its Ichitaro product line (Japanese office suite software), plugging a zero-day vulnerability. This vulnerability is being actively exploited in the wild to specifically target Japanese organizations.

The exploit is sent to the targeted organizations through emails with a malicious Ichitaro document file attached, which Symantec products detect as Bloodhound.Exploit.557. Payloads from the exploit may include Backdoor.Emdivi, Backdoor.Korplug, and Backdoor.ZXshell; however, all payloads aim to steal confidential information from the compromised computer.

The content of the emails vary depending on the business interest of the targeted recipient’s organization; however, all are about recent political events associated with Japan. Opening the malicious attachment with Ichitaro will drop the payload and display the document. Often such exploitation attempts crash and then relaunch the document viewer to open a clean document in order to trick users into believing it is legitimate. In this particular attack, opening the document and dropping the payload are done without crashing Ichitaro and, as such, users have no visual indications as to what is really happening in the background.

CloudyOmega
As Security Response previously discussed, unpatched vulnerabilities being exploited is nothing new for Ichitaro. However, during our investigation of this Ichitaro zero-day attack, we discovered that the attack was in fact part of an ongoing cyberespionage campaign specifically targeting various Japanese organizations. Symantec has named this attack campaign CloudyOmega. In this campaign, variants of Backdoor.Emdivi are persistently used as a payload. All attacks arrive on the target computers as an attachment to email messages. Mostly the attachments are in a simple executable format with a fake icon. However, some of the files exploit software vulnerabilities, and the aforementioned vulnerability in Ichitaro software is only one of them. This group’s primary goal is to steal confidential information from targeted organizations. This blog provides insights into the history of the attack campaign, infection methods, malware payload, and the group carrying out the attacks.

Timeline
The first attack of the campaign can be traced back to at least 2011. Figure 1 shows the targeted sectors and the number of attacks carried out each year. The perpetrators were very cautious launching attacks in the early years with attacks beginning in earnest in 2014. By far, the public sector in Japan is the most targeted sector hit by Operation CloudyOmega. This provides some clue as to who the attack group is.

CloudyOmega 1 edit.png
Figure 1. Targeted sectors and number of attacks

Attack vector
Email is the predominant infection vector used in this campaign.

CloudyOmega 2 edit.png
Figure 2. Sample email used in attack campaign

Figure 2 is an example of an email used in recent attacks prior to those exploiting the Ichitaro zero-day vulnerability. The emails include password-protected .zip files containing the malware. Ironically, the attackers follow security best practices by indicating in the first email that the password will be sent to the recipient in a separate email. This is merely to trick the recipient into believing the email is from a legitimate and trustworthy source. The body of the email is very short and claims the attachment includes a medical receipt. The email also requests that the recipient open the attachment on a Windows computer. The file in the attachment has a Microsoft Word icon but, as indicated within Windows Explorer, it is an executable file.

CloudyOmega 3 edit.png
Figure 3. Attached “document” is actually a malicious executable file

Payload
The malicious payload is Backdoor.Emdivi, a threat that opens a back door on the compromised computer. The malware is exclusively used in the CloudyOmega attack campaign and first appeared in 2011 when it was used in an attack against a Japanese chemical company. Emdivi allows the remote attacker executing the commands to send the results back to the command-and-control (C&C) server through HTTP.

Each Emdivi variant has a unique version number and belongs to one of two types: Type S and Type T. The unique version number is not only a clear sign that Emdivi is systematically managed, but it also acts as an encryption key. The malware adds extra words to the version number and then, based on this, generates a hash, which it uses as an encryption key.

Both Emdivi Type S and Type T share the following functionality:

  • Allow a remote attacker to execute code through HTTP
  • Steal credentials stored by Internet Explorer

Type T is primarily used in Operation CloudyOmega, has been in constant development since the campaign was first launched in 2011, and is written in the C++ programing language. Type T employs techniques to protect itself from security vendors or network administrators. Important parts of Type T, such as the C&C server address it contacts and its protection mechanisms, are encrypted. Type T also detects the presence of automatic analysis systems or debuggers, such as the following:

  • VirtualMachine
  • Debugger
  • Sandbox

Type S, on the other hand, was used only twice in the attack campaign. Type S is a .NET application based on the same source code and shared C&C infrastructure as Type T. However, protection mechanisms and encryption, essential features for threat survival, are not present in Type S. One interesting trait of Type S is that it uses Japanese sentences that seem to be randomly taken from the internet to change the file hash. For instance, in the example shown in Figure 4, it uses a sentence talking about the special theory of relativity.

CloudyOmega 4 edit.png
Figure 4. Japanese text used by Emdivi Type S variant

Who is Emdivi talking to?
Once infected, Emdivi connects to hardcoded C&C servers using the HTTP protocol.

So far, a total of 50 unique domains have been identified from 58 Emdivi variants. Almost all websites used as C&C servers are compromised Japanese websites ranging from sites belonging to small businesses to personal blogs. We discovered that 40 out of the 50 compromised websites, spread across 13 IP addresses, are hosted on a single cloud-hosting service based in Japan.

CloudyOmega 5.png
Figure 5. Single IP hosts multiple compromised websites

The compromised sites are hosted on various pieces of web server software, such as Apache and Microsoft Internet Information Services (IIS), and are on different website platforms. This indicates that the sites were not compromised through a vulnerability in a single software product or website platform. Instead, the attacker somehow penetrated the cloud service itself and turned the websites into C&C servers for Backdoor.Emdivi.

The compromised cloud hosting company has been notified but, at the time of writing, has not replied.

Symantec offers two IPS signatures that detect and block network communication between infected computers and the Emdivi C&C server:

Zero-day and links to other cybercriminal groups
During our research, multiple samples related to this attack campaign were identified and allowed us to connect the dots, as it were, when it came to CloudyOmega’s connections to other attack groups.  

In August 2012, the CloudyOmega attackers exploited the zero-day Adobe Flash Player and AIR ‘copyRawDataTo()’ Integer Overflow Vulnerability (CVE-2012-5054) in an attack against a high-profile organization in Japan. The attackers sent a Microsoft Word file containing a maliciously crafted SWF file that exploited the vulnerability. Once successfully exploited, the file installed Backdoor.Emdivi. As CVE-2012-5054 was publicly disclosed in the same month, the attack utilized what was, at the time, a zero-day exploit.

Interestingly, the Flash file that was used in an Emdivi attack in 2012 and the one used in the LadyBoyle attack in 2013 look very similar.

Figure 6 shows the malformed SWF file executing LadyBoyle() code that attempts to exploit the Adobe Flash Player CVE-2013-0634 Remote Memory Corruption Vulnerability (CVE-2013-0634). The Flash file seems to have been created using the same framework used by the CloudyOmega group, but with a different exploit.

CloudyOmega 6 edit.png
Figure 6. Malformed SWF file used in the LadyBoyle campaign in February 2013

Both attacks use a .doc file containing an Adobe Flash zero-day exploit that is used to install a back door. No other evidence connects these two different campaigns; however, as described previously in Symantec Security Response’s Elderwood blog, it is strongly believed that a single parent organization has broken into a number of subgroups that each target a particular industry.

In terms of the latest attack on Ichitaro, we collected a dozen samples of JTD files, all of which are exactly the same except for their payload. The parent organization, it would seem, supplied the zero-day exploit to the different subgroups as part of an attack toolkit and each group launched a separate attack using their chosen malware. This is why three different payloads (Backdoor.Emdivi, Backdoor.Korplug, and Backdoor.ZXshell) were observed in the latest zero-day attack.

fig9_0.png
Figure 7. Parent group sharing zero-day exploit

Conclusion
Operation CloudyOmega was launched by an attack group that has communication channels with other notorious attack groups including Hidden Lynx and the group responsible for LadyBoyle. CloudyOmega has been in operation since 2011 and is persistent in targeting Japanese organizations. With the latest attack employing a zero-day vulnerability, there is no indication that the group will stop their activities anytime soon. Symantec Security Response will be keeping a close eye on the CloudyOmega group.

Protection summary
It is highly recommended that customers using Ichitaro products apply any patches as soon as possible.

Symantec offers the following protection against attacks associated with Operation CloudyOmega:

AV

IPS

Adobe Flash ????????????????????????????

      No Comments on Adobe Flash ????????????????????????????

ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。
 

adobe-zero-day.png

図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃
 

攻撃の手口

今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト(giftserv.hopto.org)にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル(Trojan.Malscript)が読み込まれ、このファイルによって標的のシステムが 32 ビットか 64 ビットかが判定されます。この判定結果に応じて、攻撃者のサーバーにホストされている 32 ビットまたは 64 ビットのいずれかのフォルダから、悪質な index.html ファイル(これも Trojan.Malscript として検出されます)と追加コンポーネントがダウンロードされます。悪質な index.html は次に cc.swf という Adobe Flash ファイル(Trojan.Swifi)を読み込み、これにゼロデイ脆弱性が存在します。悪用に成功すると、暗号化されたシェルコードを含む logo.gif という画像ファイルがダウンロードされ、このシェルコードによって悪質なペイロード server.exe(Backdoor.Jolob)がダウンロードされ実行されます。
 

今回の攻撃に対する防止策と緩和策

インストールされている Adobe 製品を最新バージョンに更新して、この脆弱性に緊急に対処することをお勧めします。ソフトウェアのアップグレード方法について詳しくは、Adobe Security Bulletin を参照してください。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のゼロデイ攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 

衰えを見せない水飲み場型攻撃

水飲み場型攻撃が、特定の個人を標的にした攻撃者の間で多用され続けていることは、今回の事例からも明らかです。ゼロデイ脆弱性が次々と悪用されていることを考えると、攻撃者が使える武器は無尽蔵とも言えます。複数の Web サイトで Adobe Flash のこの脆弱性が確認されていますが、送信されているペイロードはそのすべてで異なります。今回のゼロデイ悪用コードが多くの攻撃者に販売されている可能性や、あるいは単独の攻撃者が複数の攻撃キャンペーンを仕掛けている可能性があります。シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。
 

watering-hole-attacks.png

図 2. 水飲み場型攻撃の手口

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Flash Zero-Day Linked to Yet More Watering Hole Attacks

Watering hole attacks using zero-day vulnerabilities are becoming more common. Last week we announced an Internet Explorer 10 zero-day being used in a watering hole attack and today, just one week later we have an Adobe Flash zero-day, Adobe Flash Player and AIR CVE-2014-0502 Remote Code Execution Vulnerability (CVE-2014-0502), also being used in a watering hole attack. This new attack has been dubbed “Operation GreedyWonk” in various media and is reported to be targeting the websites of three non-profit institutions. Symantec telemetry shows even more sites being targeted in this watering hole attack using this new zero-day.
 

adobe-zero-day.png

Figure 1. Watering hole attack using Adobe Flash 0-day
 

Anatomy of the attack

This attack technique is known as a watering hole attack. In this case the target visits a compromised website that contains an IFrame inserted by the attackers in order to redirect the target to another website (giftserv.hopto.org). This new site loads a malicious index.php file (Trojan.Malscript) which checks whether the victim is running a 32-bit or 64-bit system. Depending on the results, a malicious index.html file (also Trojan.Malscript) and additional components are also downloaded from either the 32-bit or 64-bit folders hosted on the attacker’s server. The malicious index.html file then loads the cc.swf Adobe Flash file (Trojan.Swifi) containing the zero-day. Once exploited, a logo.gif image file is downloaded containing encrypted shellcode which downloads and executes the malicious server.exe (Backdoor.Jolob) payload.
 

How can I prevent and mitigate against this attack?

Symantec recommends users update their Adobe product installations to the latest versions to address this critical vulnerability. Details of how to upgrade software are available in an Adobe Security Bulletin.

Symantec customers are protected from this zero-day attack with the following detections:

Antivirus

Intrusion Prevention Signatures

  • Web Attack: Malicious SWF Download 22

As always, we also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.
 

Watering hole attacks remain popular

This latest watering hole attack demonstrates that it remains a popular technique for attackers to target individuals of interest. The use of yet another zero-day indicates the arsenal available to attackers shows no signs of depletion. Multiple websites have been identified using this Adobe Flash zero-day, all with different payloads being delivered. This may be the result of this particular zero-day being sold to a number of different attackers, or possibly that it was used by a single attacker in multiple campaigns. Symantec continues to investigate this attack to ensure that the best possible protection is in place.
 

watering-hole-attacks.png

Figure 2. Anatomy of a watering hole attack

????????????????????

      No Comments on ????????????????????
シマンテックは、「複数の一太郎製品に存在する不解決のリモートコード実行の脆弱性」(CVE-2013-5990)として知られる一太郎の新しいゼロデイ脆弱性について、以前ブログでお伝えしました。この時点では、この脆弱性が盛んに悪用されていることは確認されたものの、うまく機能せず実際にコンピュータへの侵入はありませんでした。その 1 週間後、シマンテックは、攻撃者の意図どおりに動作する悪用コードを複数のインシデントで確認しました。この悪用コードは、標的型攻撃でよく使われているバックドアを利用して、標的のコンピュータに実際に侵入することが可能です。脆弱性の悪用に使われているファイルは、以前の攻撃と同じくリッチテキスト形式で、ジャストシステム社が開発したワープロソフトウェア「一太郎」が標的になっています。
 
悪用が不首尾に終わった前回の攻撃では、悪質な文書に Backdoor.Vidgrab の亜種とシェルコードが埋め込まれていました。このときのサンプルの場合、シマンテックのテスト環境では、シェルコードはバックドアを投下することができませんでした。今回の悪質な文書ファイルには、Backdoor.KorplugBackdoor.Misdat、および Trojan Horse として検出される各種のマルウェアを投下するシェルコードが含まれています。投下されるのはいずれも、標的型攻撃でおなじみのバックドア型のトロイの木馬です。Backdoor.Korplug は 2012 年に出現して以来、標的型攻撃で頻繁に使われています。Backdoor.Misdat は 2011 年、米国や日本に拠点を置く組織が狙われたときに主として確認されましたが、最近の攻撃ではあまり使われていません。
 
ペイロードとして Backdoor.Vidgrab を使い続けていたうちは悪用の試みに失敗していましたが、その後は戦術を変えて各種のバックドアを使うようになり、悪用に成功するようになっています。また、シマンテックは、今回標的が広がってより多くの組織が狙われるようになっていることも確認しています。このことから、攻撃者はテスト運用を行って悪用の成否を確かめる段階を終え、いよいよ一太郎の脆弱性を悪用して実害のある攻撃を仕掛ける段階に入ったのではないかと考えられます。さらに、一太郎の脆弱性を悪用した攻撃を仕掛けるためのツールキットを他の攻撃者と共有し始めている可能性もあります。いずれにしても、この脆弱性を悪用する攻撃が増加していることは確かであり、一太郎をお使いのユーザーはこれらの攻撃に警戒する必要があります。
 
ただし、脆弱性の悪用に成功している攻撃が複数見つかったとしても、一太郎ユーザーが大騒ぎする必要はありません。この脆弱性に対するパッチはすでに公開されており、ダウンロードできるようになっています。まだこのパッチを適用していない場合には、ただちにパッチを適用してください。シマンテックは、今回説明した悪質なリッチテキストファイルを Trojan.Mdropper として検出します。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ichitaro Vulnerability Successfully Exploited in the Wild

In a previous blog, Symantec reported a new Ichitaro zero-day vulnerability known as the Multiple Ichitaro Products Unspecified Remote Code Execution Vulnerability (CVE-2013-5990). This flaw was being actively exploited in the wild, but the exploit was…

???????????????????????

      No Comments on ???????????????????????

標的型攻撃は日常的に発生するようになり、攻撃者は最新のニュース記事をすぐさまソーシャルエンジニアリングの材料として利用しています。最近確認された標的型攻撃は、ペイロードとして Backdoor.Korplug を送信するもので、Symantec.cloud サービスで捕捉されました。この攻撃では、シリアでの化学兵器使用疑惑に関連して最近ワシントンポスト紙に掲載された記事が利用されています。攻撃者は、この記事の全文を悪質な文書に利用していますが、これは被害者を騙して、あたかも正規の文書であるかのように思わせることが目的です。
 

Chemical attacks 1.png

図 1. 記事を盗用した悪質な文書の一部
 

この攻撃は、Backdoor.Korplug による標準的な手口に従っています。以前のブログでお伝えしたように、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-2551、Bloodhound.Exploit.497)を含む悪質な .doc ファイルを電子メールで標的に送り付ける手口です。
 

Chemical attacks 2.png

図 2. シリアでの化学兵器使用疑惑に関する報道を悪用した標的型攻撃の電子メールの例
 

シマンテックは、今回のブログで解説したような新しい脅威やそれに類似した脅威について監視を続けます。疑わしい電子メールはそもそも開封しないことをお勧めします。また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Chemical Attack in Syria Used as Enticement in Targeted Attack

Targeted attacks are a daily occurrence and attackers are fast to employ the latest news stories in their social engineering themes. In a recent targeted attack, delivering a payload of Backdoor.Korplug and caught by our Symantec.cloud services, we obs…