By now you should be well aware of the vulnerability CVE-2014-0160, nicknamed HeartBleed, that exists in a number of versions of OpenSSL – an extremely popular open source cryptographic library.
Yesterday, we provided some guidance on st…
寄稿: Parag Sawant
フィッシング詐欺師は、ユーザーの重要な情報を手に入れるチャンスを増やすために、さまざまな計略を繰り出し続けています。シマンテックが最近確認したフィッシング攻撃の場合は、男性と女性のどちらが偉いかと質問する偽の投票サイトを通じてデータが集められていました。
フィッシングページは無料の Web ホスティングサイトを利用しており、Facebook ユーザーを標的にした偽の投票ページには、「WHO IS GREAT BOYS OR GIRLS?(男性と女性、どちらが偉い?)」という質問と[VOTE(投票)]ボタンがあります。ページには、投票結果を示す棒グラフも埋め込まれており、過去 4 年間の総得票数が示されます。このようなグラフがあることで、より本物らしく見えます。
図 1. 投票サイトへの登録を求める Facebook アプリケーション
最初のフィッシングページには、投票プロセスを開始するボタンがあります。このボタンをクリックすると、次の図のようにポップアップウィンドウが開き、ユーザーのログイン ID とパスワードを入力するよう求められます。
図 2. ユーザーのアカウント情報の入力を求めるポップアップウィンドウ
ポップアップウィンドウには、男性か女性のどちらかに投票するためのボタンと、投票を送信するボタンも表示されます。フィールドに必要な情報をすべて入力し終わると、投票した情報を確認するための確認ページに進みます。
図 3. ユーザー情報を入力し終わると、投票の確認メッセージが表示される
ここで最初のページに戻ろうとして、投票数が定期的に増えていることに気付きました。先ほど 4,924,055 だった数値が、今見ると 4,924,096 になっているのです。
図 4. 変化する前と変化した後の投票数の比較
今回のフィッシング詐欺師は以下の URL を使っており、そのサブドメインからこれがアプリケーションであることがわかります。
[http://]smartapps.[削除済み].com
このサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
偽アプリケーションを餌に使う手口は珍しいものではありません。インターネットを利用する際には、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Parag Sawant
Phishers continuously come up with various plans to enhance their chances of harvesting users’ sensitive information. Symantec recently observed a phishing campaign where data is collected through a fake voting site which asks users to decide whether boys or girls are greater.
The phishing page, hosted on a free Web hosting site, targets Facebook users and contains a fake voting campaign, “WHO IS GREAT BOYS OR GIRLS?” along with the “VOTE” button to register votes. The page is also embedded with pair of bar charts representing voting ratio and displays the total votes gained for the last four years. These give a more legitimate feel to the fake application.
Figure 1. The Facebook application asks users to register their votes
The first phishing page contains a button to initiate the voting process. After the button is clicked, a pop-up window appears, asking for a user’s login ID and password, as shown below:
Figure 2. A pop–up window requesting for user account information
The pop-up also contains two option buttons to vote for either male or female, and a button to submit the vote. After all the details and fields have been entered and filled up, the page then redirects the user to an acknowledgement page to confirm his or her voting information.
Figure 3. A voting confirmation message is displayed after user information is entered
We then tried returning to the first page and found that the vote count increases periodically. The number was previously 4,924,055 but has now increased to 4,924,096.
Figure 4. A comparison of the previous vote count and the current vote count
The phishers used the following phishing URL, and a subdomain to indicate that it is an application:
http://smartapps[DOMAIN NAME].com
If any user falls victim to the site, the phishers would then have successfully stolen personal user information for identity theft purposes.
The use of fake applications as bait is not uncommon, and Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks:
ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。
開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。
図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール
この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬(RAT)です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」(英語)でも解説しているとおり、標的型攻撃に頻繁に使われています。
ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。
図 2. ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール
この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。
こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。
このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.
During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.
Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.
In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.
In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.
Figure 2. Email purporting to relate to military co-operation at the Sochi Olympics
Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.
These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.
As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.
以前のブログで、成功率を上げるためにスパマーがメッセージを次々と変更している事例についてお伝えしました。その中で解説したように、同じスパム活動で使われるメッセージが、音声メールの通知から、小売業者の配達不能通知へ、さらには電力会社を装った案内へと変更されていたのです。リンクをクリックすると、Trojan.Fakeavlock を含む .zip ファイルがダウンロードされます。しかし、スパマーもこうした攻撃経路ではユーザーがなかなか騙されなくなってきたことに気付いたようで、この攻撃に 2 つの手口を追加しています。最初はランダムで無関係のように見えましたが、目的は明らかに共通しています。
1 つ目は米国各地の裁判所を騙る手口です。
図 1. 米国の裁判所に偽装したスパムメール
2 つ目は葬儀場を騙る手口です。
図 2. 葬儀場に偽装したスパムメール
この 2 つの手口に共通するのは、どちらも大至急メッセージを開封してリンクをクリックするように急かしている点です。どちらも緊急性を感じさせる文面であり、たいていの人は裁判所からの通知は無視できないでしょうし、いったい誰の葬儀なのか知りたくて葬儀への招待リンクもクリックしてしまうでしょう。後者の場合は、葬儀の日取りが当日か翌日になっているので、余計に急かされることになります。
スパマーはこうして工夫を凝らしている一方で、やはり同じミスを繰り返しています。以前と同様、ヘッダーの情報が本文と食い違っているのです。以下に示す例でも、ヘッダーでは裁判所からの通知を装っていながら、本文は電力会社からの案内になっています。
図 3. ヘッダーと本文が食い違っているスパムメール
このスパム活動は今でも、乗っ取った URL(所有者の知らないうちに侵入を受けてスパムコンテンツをホストしている Web サーバー)をコールトゥアクションとして利用しています。以下に示すように、スパムコンテンツを秘匿するために使われているディレクトリパスもさまざまです。
図 4. スパムコンテンツを秘匿するために使われているディレクトリパス
グラフの左半分は色分けが比較的単純ですが、右半分になると同じ日でも色が複雑に分かれています。12 月から 1 月初旬に掛けての期間と比べると、このスパムに使われているディレクトリパスの種類が増えています。
このスパム活動はまだ終わりそうになく、スパマーはこれからも新たな経路を考案するものと思われます。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In this blog detailing how spammers continue to change their messages in order to increase their success rate, we looked at the evolution of the same spam campaign from missed voicemail messages to spoofing various retailers, and then spoofing utility statements. Clicking on the link led the users to a download for a .zip file containing Trojan.Fakeavlock. Attackers may have realized that those attack vectors no longer entice recipients, so spammers have introduced two new schemes for this campaign that appear to be random and unrelated at first, but they do share a common goal.
The first scheme spoofs various courts around the country:
Figure 1. United States court spam email
The second scheme spoofs a funeral home:
Figure 2. Funeral home spam email
What do these two vectors have in common? They both urge the recipients to open the message and quickly click on the links. There is a sense of urgency in both messages; usually people do not want to ignore a message from a court, and they would probably want to see if they recognize the person mentioned in the funeral invitation link. In the latter case, the funeral is scheduled to be on the same day or next day, which increases the urgency even more.
While the spammers continue to try their best, they keep making the same mistake. They usually send poorly crafted messages where the header does not match the information in the body. Here is one such example where the header indicates that the message is from a court when the body is a utility statement:
Figure 3. Spam email where the header and body do not match
This spam campaign continues to use various hijacked URLs (a compromised web server hosting spam content without the owner’s knowledge) as call-to-actions. Various directory paths are used to hide this spam content as seen here:
Figure 4. Directories used to hide spam content
The left half of the graph shows relatively simple colors, compared with the right half where there are more colors being represented per day. This indicates that the spammer is using a greater variety of directory paths compared to December and early January.
This particular spam run is probably not over yet, and the spammer may find another clever vector to utilize. However, Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.
スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。
一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。
これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。
図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ
このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。
2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。
1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。
図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル
図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部
「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。
図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問
ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。
図 5. 70 号室の所有者は現在、Sutherland Global Services となっている
掲載されている番号に電話を掛けても通じません。netops@nthair.com 宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。
「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。
図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル
図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部
ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。
図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ
この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。
今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
One of the most popular methods of spamming is snowshoe spam, also known as hit and run spam. This involves spam that comes from many IP addresses and many domains, in order to minimize the effect of antispam filtering. The spammer typically sends a burst of such spam and moves to new IP addresses with new domains. Previously used domains and IP addresses are rarely used again, if ever.
Some spammers like to use a similar pattern across their spam campaigns. This blog discusses a particular snowshoe spam operation that I have labeled “From-Name snowshoe”. While there are other features in the message that allow the campaigns to be grouped into the same bucket, the messages’ most distinct feature is that all of the email addresses that appear in the “from” line use real names as their usernames.
This From-Name snowshoe campaign had two interesting traits. The first was the timing. Over the course of a few months, I have noticed that this spam operation only sent messages on weekdays.
Figure 1. Over 59 million spam messages have been identified since October 16, 2013.
After further investigating this timing, we discovered that the spam is only sent between 6am and 7pm Pacific Time. Coupled with the fact that messages were only sent during weekdays, this suggested that the operation could be part of a business.
The second trait was the IP addresses that were used for this spam run. As noted above, typical snowshoe spam does not return to the same IP addresses. However, analysis into the senders’ IP addresses revealed that the messages were coming from multiple IP addresses that were owned by the same entity. This organization is called “Network Operations Center,” which is based in Scranton, Pennsylvania, and it’s a well-known spam operation.
Last month, this spam operation began to send the same type of spam messages from IP addresses owned by other entities. One of them was “Nth Air, Inc.”.
Figure 2. Spam sample sent from IP addresses owned by other entities, including “Nth Air, Inc
Figure 3. Email header snippet showing Nth Air, Inc’s IP address
While a simple online search for “Network Operations Center spam” produced many results discussing spam, a similar search for Nth Air did not have as many results. In fact, the company appears to have been a legitimate WiMAX provider in the past, as seen in this press release. I was unable to find news about the company in recent times, which led me to believe that the organization may no longer exist. However, ARIN records indicated that the company was based in San Jose, California, so I decided to visit its offices in the hopes of finding out more information about the organization.
Figure 4. Visiting the building with address listed on Nth Air
I went to the suite that was listed online, but another company was using it.
Figure 5. Suite 70 is now occupied by Sutherland Global Services
I called the phone number listed online to no avail. My email to netops@nthair.com bounced back because, “the recipient does not exist.” Bummer.
Since my visit to “Nth Air, Inc” did not work out as planned, I turned to “LiteUp, Inc”.
Figure 6. Spam sample from LiteUp, Inc’s IP address
Figure 7. Email header snippet showing LiteUp, Inc’s IP address
ARIN listings indicated that the company was located in Berkeley, California, so I went there for a visit. Unfortunately, I was unable to find LiteUp at the listed address.
Figure 8. Address listed by LiteUp. It was a motorcycle store instead.
So that makes two instances of spammers using IP addresses owned by companies that do not exist, at least according to ARIN records.
I was unable to meet the spammers, or those who could be assisting spammers, but we are keeping a close watch to ensure that these spam messages do not reach end users’ inboxes.
ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。
最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。
今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。
実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。
図 1. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 30 日付)
図 2. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール(2014 年 1 月 31 日付)
悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。
“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”
ファイル(kskzjmtypb.exe)がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。
“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”
シマンテックは、このマルウェアを Trojan Horse として検出します。
今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。