Tag Archives: Backdoor.Weevil

The Mask???????

      No Comments on The Mask???????

 

The Mask 1.png

最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask(ザ・マスク)」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。

The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。

活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。

標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV(履歴書)や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。

  • Inspired By Iceland.doc
  • DanielGarciaSuarez_cv_es.pdf
  • cv-edward-horgan.pdf

添付ファイルを開くと、正規の文書に見える内容が表示されますが、実際には悪質なリモートアクセス型のトロイの木馬(RAT)もインストールされ、侵入を受けたコンピュータへの完全なアクセスを許してしまいます。侵入に成功すると、The Mask は追加のツールをインストールし、持続性を強化してサイバースパイ活動を続けられるようになります。

サイバースパイ – 専門的なツール類
The Mask は、自由に使える一連のツール類を所有しています。なかでも、このグループを典型的なサイバー犯罪とかけ隔てている特徴と言えるのが、Backdoor.WeevilB というツールです。これは、モジュール型の性質とプラグインアーキテクチャを備えた高度なサイバースパイツールであり、無数の設定オプションが用意されています。DuquFlamerMiniDuke といった他の高度な攻撃活動を連想させますが、The Mask がそれらの活動と関連している証拠は見つかっていません。

デフォルトで、相互通信、ネットワーク盗聴、活動監視、データ抽出、ルートキット機能などに特化した 20 近いモジュールがインストールされます。

The Mask 2.png

図. The Mask のモジュールの一部

追加モジュールのダウンロードと即時のロードは、プラグインアーキテクチャによって実現されています。Backdoor.WeevilB は主要なブラウザのすべてにおける活動をログに記録し、膨大な拡張子のリストに基づいて情報を収集します。Backdoor.WeevilB の標的となる文書の種類は、以下のとおりです。

  • Word、PDF、Excel
  • 暗号化ファイル、PGP キー、暗号化キー
  • モバイルバックアップファイル
  • 電子メールアーカイブ

収集された情報は、HTTPS プロトコルを使って、攻撃者が管理するサーバーに安全に送信されます。

データを盗み出すコンポーネントが、The Mask の標的に関する手掛かりになっています。「archivos de programa」のようなスペイン語のパス名で文書を検索していることから、標的ではスペイン語のオペレーティングシステムが実行されていると考えられます。

まとめ
専門的なチームが展開するサイバースパイ活動は、増加傾向にあります。この数年の間で、Flamer、MiniDuke、Hidden Lynx といった何年間も持続するスパイ活動がいくつも明らかになってきました。The Mask も、こうした名だたるマルウェアに連なるものですが、高度な攻撃活動の標的が多様化していることも示しています。これらの攻撃と時を同じくして、スパイ活動に使われるツールを開発する企業も登場しており、Hacking Team や Gamma International といった企業が、高度な監視機能を持つリモートアクセスツール群を販売しています。こうしたことからも、地理的にも技術的にもサイバースパイ活動が広がりつつあることは明白です。

保護対策
シマンテックは、この脅威に対して以下の検出定義を提供しています。

また、次の侵入防止シグネチャでネットワーク保護も提供しています。

System Infected: Backdoor.Weevil Activity

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Mask

      No Comments on The Mask

 

The Mask 1.png

Modern cyberespionage campaigns are regularly defined by their level of sophistication and professionalism. “The Mask”, a cyberespionage group unveiled by Kaspersky earlier today, is no exception. Symantec’s research into this group shows that The Mask has been in operation since 2007, using highly-sophisticated tools and techniques to compromise, monitor, and exfiltrate data from infected targets. The group uses high-end exploits and carefully crafted emails to lure unsuspecting victims. The Mask has payloads available for all major operating systems including Windows, Linux, and Macintosh.

An interesting aspect of The Mask is the fact that they are targeting the Spanish-speaking world and their tools have been specifically designed for this. The targets appear to reside mainly in Europe and South America.

The longevity of the operation, the access to highly sophisticated tools, and the precise and targeted nature of the victims indicate this is a very professional, well organized team with substantial resources.

Targeting the victim
The Mask typically infects the victim with a highly targeted email. Using the lure of a CV (resume) or political content, the attachments observed have been in the form of malicious PDF or Microsoft Word documents. The following is a sample of some of the attachment names used:

  • Inspired By Iceland.doc
  • DanielGarciaSuarez_cv_es.pdf
  • cv-edward-horgan.pdf

Upon opening the document, the recipient is presented with what looks like a legitimate document, however a malicious remote access Trojan (RAT) is also installed, allowing full remote access to the compromised computer. Once compromised, The Mask can then install additional tools for enhanced persistence and cyberespionage activities.

Cyberespionage – a professional suite
The Mask has a suite of tools at its disposal. One tool in particular distinguishes this group from typical cyber operations. Backdoor.WeevilB, a sophisticated cyberespionage tool that is modular in nature, has a plugin architecture and has a myriad of configuration options. This tool is reminiscent of those associated with other sophisticated campaigns such as Duqu, Flamer, and MiniDuke. However there is no evidence that The Mask is associated with these campaigns.

The default install boasts nearly 20 modules purpose built for intercommunication, network sniffing, activity monitoring, exfiltration, and rootkit capabilities.

The Mask 2.png

Figure. Some of The Mask’s modules

The plugin architecture allows for additional modules to be downloaded and loaded on the fly. The Trojan can log activity in all the major browsers and has a comprehensive list of file extensions to gather information on. The types of documents targeted by the Trojan are:

  • Word, PDF, Excel
  • Encrypted files, PGP keys, encryption keys
  • Mobile backup files
  • Email archives

The information can then be securely exfiltrated to attacker controlled servers using the HTTPS protocol.

The data-stealing component provides clues as to The Mask’s targets. It searches for documents in Spanish-language pathnames, for example “archivos de programa”, indicating that their targets are running Spanish-language operating systems.

Conclusion
Cyberespionage campaigns conducted by professional teams are increasingly common. Numerous espionage operations spanning years have been highlighted over the last few years. Examples include Flamer, MiniDuke, and Hidden Lynx. The Mask joins this notorious list but also shows how the targets of these sophisticated campaigns are becoming increasingly diverse. Coinciding with these campaigns has been the emergence of companies who develop tools for use in espionage campaigns. Companies such as Hacking Team and Gamma International provide remote access suites that offer sophisticated surveillance capabilities. All of this serves to highlight how the geographical and technical boundaries of cyberespionage are expanding.

Protection
Symantec has the following detection in place for this threat.

We also provide network protection with the following Intrusion Prevention Signature:

System Infected: Trojan.Weevil Activity