Tag Archives: Backdoor.Moudoor

???????????????? Hidden Lynx ?????????

      No Comments on ???????????????? Hidden Lynx ?????????

業界横断的な共同作戦により、Hidden Lynx APT グループによって利用されている Hikit マルウェアに大きな打撃を与えました。

Security vendors take action against Hidden Lynx malware

Cross-industry collaboration results in major blow against Hikit malware used by Hidden Lynx APT group.
Read more…

Empresas de seguridad toman acciones contra el malware “Hidden Lynx”

Una operación coordinada entre Symantec y otras compañías de seguridad dio un importante golpe a Backdoor.Hikit y a otras herramientas de malware utilizadas por el grupo de ciberespionaje llamado Hidden Lynx. La Operación SMN permitió que las compañías más importantes de la industria de la seguridad compartieran inteligencia y recursos, lo que ha posibilitado el desarrollo de una protección integral que podría incapacitar la efectividad de este malware.

Fornecedores de segurança tomam medidas contra o malware Hidden Lynx

Uma operação coordenada envolvendo a Symantec e uma série de empresas de segurança atingiu o Backdoor.Hikit e diversos outros malwares utilizadps pelo grupo de ciberespionagem baseado na China Hidden Lynx. Chamada de Operation SMN, essa colaboração do setor fez com que grandes fornecedores de segurança compartilhassem inteligência e recursos, levando à criação de proteção ampla por fornecedores múltiplos, que podem reduzir significativamente a eficácia deste malware

????????????? Internet Explorer 10 ???????????

      No Comments on ????????????? Internet Explorer 10 ???????????

先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃について詳細が判明しました。

ie10_0day-diagram1.png

図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃

攻撃の手口

この水飲み場型攻撃で標的になったのは、vfw.org(海外戦争復員兵協会)の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ(aliststatus.com でホストされています)がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。

SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです(Trojan Horse として検出されます)。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。

SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。

過去の攻撃との関連性

調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx(謎の山猫)と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。

今回の攻撃に対する防止策と緩和策

Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit(EMET)をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

シマンテックの遠隔測定によると、ペイロードの一部は以下のヒューリスティック検出定義によって各段階で検出されていることも判明しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Internet Explorer 10 Zero-Day Discovered in Watering Hole Attack

In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0…

Hidden Lynx – Contratando Hackers Profesionales

      No Comments on Hidden Lynx – Contratando Hackers Profesionales

En los últimos años, han aparecido informes que detallan las actividades y actores detrás de varios ataques persistentes o APT. En Symantec Security Response hemos seguido de cerca a un grupo que consideramos entre los mejores de su clase, lo denominamos como “Hidden Lynx” (lince escondido) por una cadena encontrada en las comunicaciones de servidores de control y comandos. “Hidden Lynx” es un grupo con un impulso y deseo que superan a otros grupos muy conocidos, tales como APT1/Comment Crew. Las principales características de este grupo son:

  • habilidades técnicas
  • agilidad
  • organización
  • inventiva
  • paciencia

Estos atributos se ven en las fuertes campañas y ataques que han realizado contra múltiples blancos en simultáneo durante un período de tiempo ininterrumpido. El grupo es pionero de la técnica “watering hole” que se utiliza para emboscar a los blancos o víctimas. Tienen acceso temprano a vulnerabilidades de día cero, además de la tenacidad y paciencia de un cazador inteligente para comprometer la cadena de suministros y así llegar a su blanco real. Estos ataques a las cadenas de suministro se llevan a cabo infectando computadoras de un proveedor del blanco planeado y luego esperando a que las computadoras infectadas se instalen y contacten a su base. Claramente, estas son acciones calculadas y no incursiones impulsivas de amateurs.

Asimismo, el grupo no se limita a un conjunto de blancos pequeño, sino que atacan a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté formada por hackers profesionales contratados por clientes para obtener información. Ellos roban lo que sea que les pueda interesar a sus clientes bajo pedido. De ahí la gran variedad y amplitud de blancos.

También creemos que para llevar a cabo ataques a esta escala, el grupo debe tener una experiencia considerable de hackeo a su disposición, tal vez entre 50 y 100 empleados organizados en por lo menos dos equipos que llevan a cabo distintas actividades con diferentes herramientas y técnicas. Los tipos de ataques identificados requieren tiempo y esfuerzo para desplegarse, y en algunos casos, las campañas  requieren de recolección de inteligencia y una investigación antes de articular los ataques con éxito.

Al frente de este grupo hay un equipo que utiliza herramientas desechables junto con técnicas básicas pero efectivas para atacar a muchos blancos distintos. También pueden actuar como recaudadores de inteligencia. Hemos llamado a este equipo el “Equipo Moudoor”, por el nombre del troyano que utilizan. “Moudoor” es un troyano de puerta trasera que el equipo utiliza con libertad, sin preocuparse por ser descubierto por las empresas de seguridad. Un segundo equipo actúa como una unidad de operaciones especiales, personal de élite, que se dedica a los blancos más valiosos o más resistentes. El equipo de élite usa un troyano llamado Naid y por eso nos referimos a él como “Equipo Naid”. A diferencia de “Moudoor”, el troyano “Naid” se usa moderadamente y con cuidado para evitar detección y captura. Funciona como un arma secreta que solamente se utiliza cuando fallar no es una opción.

Según nuestra investigación, desde 2011 el grupo realizó al menos seis campañas importantes, de las cuales la más notable es la campaña de ataque VOHO descubierta a mediados de 2012. Lo especialmente interesante de este ataque fue el uso de la técnica de “watering hole” y que se comprometió la infraestructura confiable de registro de archivos de Bit9. La campaña VOHO tenía como objetivo final atacar contratistas de defensa de los Estados Unidos cuyos sistemas estuvieran protegidos por el software de seguridad basado en archivos confiables de Bit9. Cuando el progreso de los atacantes de “Hidden Lynx” se vio bloqueado por este obstáculo, reconsideraron sus opciones y descubrieron que la mejor manera de esquivar la protección era comprometer el propio centro de la protección y usarlo para sus propósitos. Así que eso fue exactamente lo que hicieron cuando dirigieron su atención a Bit9 y atravesaron sus sistemas. Una vez adentro, los atacantes rápidamente encontraron el camino a la estructura de registro de archivos que era la piedra fundamental del modelo de protección de Bit9 y luego usaron el sistema para registrar una serie de archivos de malware, mismos que después se usaron para vulnerar a los blancos planeados.

Para aquellos interesados en obtener más información sobre esta investigación, hemos publicado un informe que describe al grupo y los ataques que han realizado.

También compartimos a continuación una infografía con datos clave sobre el prolífico grupo “Hidden Lynx”.

E3292280-HiddenLynx-Infographic.png

Hidden Lynx – ???????????

      No Comments on Hidden Lynx – ???????????

過去数年間で、各種の標的型攻撃や APT(Advanced Persistent Threat)の背後に存在する集団の活動について、詳しい報告が目に付くようになってきました。シマンテックセキュリティレスポンスは、なかでも特に精鋭と考えられるグループについて監視を続けており、これを Hidden Lynx(謎の山猫)と命名しました。この名前はコマンド & コントロールサーバーとの通信で見つかった文字列に由来します。このグループの貪欲さと機動力は、APT1/Comment Crew といった、よく知られている他のグループと比べても飛び抜けており、次のような特徴があります。

  • 高度な技術力
  • 俊敏性
  • 組織力
  • 潤沢なリソース
  • 忍耐力

同時に複数の標的に対して長期的に続いている執拗な攻撃活動に、こうした特徴が見て取れます。標的を待ち伏せる「水飲み場型」攻撃の先駆者であり、ゼロデイ脆弱性にもまっ先に目を付けます。そして、真の標的にたどり着くためにまずサプライチェーンに侵入するという、まるで熟練したハンター並の粘り強さも持ち合わせています。サプライチェーン攻撃を仕掛けるには、まず狙った標的組織のサプライヤのコンピュータに侵入します。そのうえで、感染したコンピュータが設置され、応答するのを待ちます。これは間違いなく冷静に計算し尽くされた行動であり、素人の衝動的な思いつきなどではありません。

このグループの攻撃は少数の標的に限定されているわけではなく、さまざまな地域で何百もの組織が同時に狙われることもあります。被害を受けた標的や地域の数と多様さを考えると、このグループは雇われのプロハッカー集団である可能性が高く、クライアントと契約して情報を提供しているものと推察されます。クライアントが望む情報を依頼に応じて盗み出しているため、標的が多様化しているのでしょう。

また、これほどの規模で攻撃を実行するためには、ハッキングに関して相当の専門知識を自在に操れることが必要です。グループにはおそらく 50 ~ 100 人規模の工作員が雇われており、それが少なくとも 2 つ別個のチームに編成され、異なるツールや技術を用いてそれぞれ別の活動に当たっていると考えられます。こうしたタイプの攻撃を実行するには時間と労力が必要であり、ときには攻撃に成功するために事前の調査と情報収集が必要な場合もあります。

このグループでも最前線に立っているのが、基本的ながらも効果的な手口と使い捨てのツールを利用してさまざまな標的を攻撃しているチームです。このチームは情報収集活動にも当たっており、使われているトロイの木馬にちなんで Team Moudoor と呼ばれています。Moudoor はバックドア型のトロイの木馬で、セキュリティ企業による検出を意に介することなく奔放に使われています。これとは別に、特殊作戦部隊のような機能を果たしているチームもあります。かつて、非常に貴重で厳重な標的に侵入したことのあるエリート集団です。このエリートチームは、Naid という名前のトロイの木馬を使っていることから、Team Naid と呼ばれています。Moudoor とは異なり、Naid は検出や捕捉を避けるために非常に慎重に使われています。さながら、絶対に失敗が許されない秘密兵器のようです。

このグループは、2011 年以降少なくとも 6 件の重大な活動に関わっていることが確認されています。特に有名なのが、2012 年 6 月の VOHO 攻撃です。この攻撃で特に注目に値するのは、水飲み場型攻撃の手口が使われたことと、Bit9 社の信頼済みファイル署名インフラが侵害されたことです。VOHO 攻撃の最終的な標的は米国の軍事企業で、そのシステムは Bit9 社の信頼ベースのソフトウェアで保護されていました。その保護機能によって攻撃が遮断されたときに、Hidden Lynx は作戦を見直し、保護をすり抜けるには保護システムの心臓部そのものに侵入して、自分たちの目的に合わせて悪用するのが一番だと気づきます。こうして Hidden Lynx は、Bit9 社に攻撃の目を向け、そのシステムを侵害したのです。侵害を果たした攻撃者は、Bit9 社の保護モデルの基盤であるファイル署名インフラへの侵入路も瞬時に見つけだします。そして、このシステムを使って多数のマルウェアファイルに署名し、さらにその署名済みのファイルを使って最終的な標的への侵入に成功しました。

さらに詳しい情報については、Hidden Lynx グループと、その攻撃活動について解説したホワイトペーパー(英語)を参照してください。

また、多くの被害をもたらしている同グループについて重要な情報をまとめた、以下の解説画像もご覧ください。

E3292280-HiddenLynx-Infographic.png

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Hidden Lynx – Professional Hackers for Hire

      No Comments on Hidden Lynx – Professional Hackers for Hire

For the past few years, reports have continued to emerge detailing the activities of actors behind various targeted attacks or Advanced Persistent Threats (APTs). Here at Symantec Security Response, we’ve been keeping our eyes on a group that we …