For many of us around the globe, August may be a month to take a bit of a break from work and go on a summer holiday. In contrast, August appears to the busiest month of the year for the scammers developing Japanese one-click fraud apps. They have incr…
標的型攻撃は日常的に発生するようになり、攻撃者は最新のニュース記事をすぐさまソーシャルエンジニアリングの材料として利用しています。最近確認された標的型攻撃は、ペイロードとして Backdoor.Korplug を送信するもので、Symantec.cloud サービスで捕捉されました。この攻撃では、シリアでの化学兵器使用疑惑に関連して最近ワシントンポスト紙に掲載された記事が利用されています。攻撃者は、この記事の全文を悪質な文書に利用していますが、これは被害者を騙して、あたかも正規の文書であるかのように思わせることが目的です。
図 1. 記事を盗用した悪質な文書の一部
この攻撃は、Backdoor.Korplug による標準的な手口に従っています。以前のブログでお伝えしたように、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-2551、Bloodhound.Exploit.497)を含む悪質な .doc ファイルを電子メールで標的に送り付ける手口です。
図 2. シリアでの化学兵器使用疑惑に関する報道を悪用した標的型攻撃の電子メールの例
シマンテックは、今回のブログで解説したような新しい脅威やそれに類似した脅威について監視を続けます。疑わしい電子メールはそもそも開封しないことをお勧めします。また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Targeted attacks are a daily occurrence and attackers are fast to employ the latest news stories in their social engineering themes. In a recent targeted attack, delivering a payload of Backdoor.Korplug and caught by our Symantec.cloud services, we obs…
寄稿: Roberto Sponchioni
シマンテックセキュリティレスポンスは最近、Alusinus という新しいリモートアクセスツール(RAT)を発見しました(Backdoor.Alusins として検出されます)。これは、スペイン語圏のアンダーグラウンド向けのプログラムで、ビルダー自体はいくつかの標準機能を備えた単純なものですが、その中に興味深く、特筆に値する機能が 1 つあります。このビルダー機能により、Backdoor.Alusins は検出をすり抜けやすくするために、calc.exe、svchost.exe、notepad.exe といった正常なプロセスに自身をインジェクトすることができます。
図 1. Backdoor.Alusins のコントロールパネル – ユーザー名、コンピュータ名、ウイルス対策やファイアウォールの情報が攻撃者に報告される
リアルタイムのデスクトップ監視
攻撃者は、Backdoor.Alusins を使って、被害者のデスクトップを表示し、ユーザーの活動をリアルタイムで監視することができます。
図 2. 侵入先のコンピュータのデスクトップ表示
Web カメラの監視
また、リアルタイムで Web カメラの動作の監視とキャプチャが可能です。
図 3. Web カメラのセッション
キーロガー機能
さらに、Backdoor.Alusins には、ログイン情報などを盗み出すために、侵入先のコンピュータ上のキーストロークをリアルタイムで監視する機能もあります。
図 4. キーロガー
迷惑行為
攻撃者は、この RAT を使って、システムエラーメッセージをカスタマイズして被害者に直接メッセージを送ることができます。このメッセージ送信機能によって、悪質ないたずらやリモートからの迷惑行為が引き起こされる恐れがあります。攻撃者はいつでも、被害者に煩わしいメッセージやポップアップを送信し、同時に Web カメラを通じて被害者の反応を観察できるからです。このツールの作成者は、対話型のオンライン詐欺を想定してこの機能を実装した可能性もあります。
図 5. 侵入先のコンピュータで任意のエラーメッセージを表示できる
加えて、Backdoor.Alusins を使えば攻撃者は侵入先のコンピュータで以下の処理を実行することも可能です。
Backdoor.Alusins はそれほど普及している RAT ではなく、スペイン語圏のハッカー層を対象としていますが、それに限定されるものではありません。シマンテックは、このバックドアビルダーとバックドアを Backdoor.Alusins として検出します。
この RAT やその他の脅威から保護するために、ウイルス対策定義、オペレーティングシステム、およびソフトウェアを常に最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Roberto Sponchioni
Symantec Security Response has recently come across a new remote administration tool (RAT) called Alusinus, which we detect as Backdoor.Alusins. The program was intended for the Spanish speaking underground and the buil…
今週ロシアのサンクトペテルブルクで開催が予定されている G20 サミットを目前にして、攻撃者はサミットの知名度を標的型攻撃に利用しています。
シマンテックが検出したある攻撃では、金融機関、金融サービス企業、政府機関、経済開発関連の組織など複数のグループを標的としています。
図 1. G20 の代表から送信されたと騙る電子メール
この電子メールは、G20 代表に代わって送信されたと称しています。そのうえで、以下のような文面が続きます。
Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
(更新版のビルディングブロックを回覧していただき、大変ありがとうございます。英国のコメントは添付ファイルでご覧ください。それでは、サンクトペテルブルクでお会いできることを楽しみにしています。)
ここで言われている「ビルディングブロック」とは、開発、汚職防止、雇用に対処する一連のビルディングブロックに対する英国政府のフィードバックを議論している複数の文書のテーマです。
図 2. 悪質な添付ファイル内のファイル
この電子メールに添付されているのは、RAR 形式のアーカイブファイルで、アーカイブファイルには 5 つのファイルが含まれています。そのうち 2 つは、ファイルタイプが偽装されており、実際には、文書ファイルの 1 つが実行可能ファイルであり、.msg ファイルが .lnk ファイルです。.lnk ファイルは、これまでにも攻撃に使われたことがあります(参照 1、参照 2)。被害者が .msg ファイルを実行しようとすると、悪質な実行可能ファイルと、悪質ではない文書の 1 つが実行されます。アーカイブファイルに含まれている 5 つのファイルとその MD5 ハッシュ値は、以下のとおりです。
| ファイル名 |
MD5 ハッシュ値 |
|
UKcomments.msg.lnk |
7960F23DC79D75005C1C98D430FAC39B |
|
UK_Building_block_TRADE.docx |
53C60480254BCEB41660BD40AA12CECB |
|
UK_Building_block_ANTICORRUPTION.doc |
099A1C43677FD1286B380BCBF9BE90F4 |
|
UK – Building block_EMPLOYMENT – Aug.docx |
05BC1C528E6CD49C9B311C25039FC700 |
|
UK – Building block_DEVELOPMENT – Aug.docx |
C9F0DFAD687F5700325C4F8AEAEFC5F8 |
図 3. 被害者に送信される悪質ではない文書
被害者には、悪質でない文書の内容が表示されます。これらの文書で注目に値するのは、いずれも変更履歴が有効になっており、元の電子メールで言及されていた、英国からのコメントが記入されていることです。現時点で、これらの文書の正当性は確認できませんが、シマンテックの調べによると変更は今月の初めに行われており、最終更新者は「UK Government(英国政府)」という名前のユーザーでした。
図 4. 文書の作成者情報
バックグラウンドで実行される悪質な実行可能ファイルは、Poison Ivy として知られるものです。シマンテックは、この実行可能ファイルを Backdoor.Darkmoon として検出します。
Backdoor.Darkmoon は、悪名高いリモートアクセス型のトロイの木馬(RAT)のひとつで、過去数年間にさまざまな標的型攻撃に使われてきました。たとえば、シマンテックが 2011 年に報告した Nitro 攻撃でも使われています。
Backdoor.Darkmoon のこの亜種は、実行されると自身を winupdsvc.exe として %Windir% ディレクトリにコピーしたうえで、ポート番号 80、8080、443 で以下の URL に接続しようと試みます。
今回の攻撃では Darkmoon が利用されていますが、同じグループによる攻撃で別の脅威が使われた例も確認しています。先月には、Java リモートアクセスツール(jRAT)を使う例を確認しており、シマンテックは Backdoor.Jeetrat および Backdoor.Opsiness として検出します。また。この脅威は Frutas RAT としても知られています。
セキュリティレスポンスは、他のグループも標的型攻撃に G20 サミットを利用していることを確認しており、今回のサミットが攻撃者にとっては絶好の素材になっていることが裏付けられています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Ahead of tomorrow’s G20 summit in Saint Petersburg, Russia, attackers are leveraging the meeting’s visibility in targeted attacks.
One particular campaign we have identified is targeting multiple groups. They include financial institutions, financial services companies, government organizations, and organizations involved in economic development.
Figure 1. Email purporting to be from G20 Representative
The email purports to be sent on behalf of a G20 representative. The email continues:
Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
The ‘building blocks’ mentioned are the theme of multiple documents, which discuss the UK government’s feedback on a series of building blocks to address development, anti-corruption, and employment.
Figure 2. File listing for malicious attachment
Attached to the email is a RAR archive file. The archive contains five files. Of the five files, two of them masquerade as different file types. One of the documents is actually an executable, while the .msg file is a .lnk file, which we have seen used in attacks before. If the victim tries to run the .msg file, it will run both the malicious executable and one of the non-malicious documents. The five files contained in the archive, and their MD5s, are as follows:
|
File name |
MD5 |
|
UKcomments.msg.lnk |
7960F23DC79D75005C1C98D430FAC39B |
|
UK_Building_block_TRADE.docx |
53C60480254BCEB41660BD40AA12CECB |
|
UK_Building_block_ANTICORRUPTION.doc |
099A1C43677FD1286B380BCBF9BE90F4 |
|
UK – Building block_EMPLOYMENT – Aug.docx |
05BC1C528E6CD49C9B311C25039FC700 |
|
UK – Building block_DEVELOPMENT – Aug.docx |
C9F0DFAD687F5700325C4F8AEAEFC5F8 |
Figure 3. Non-malicious document presented to the victim
The victim will be shown a non-malicious document. What is interesting about these documents is that each of them has track changes enabled and contains the reported comments from the UK called out in the original e-mail. At this time, we cannot verify the authenticity of these documents, but from our observation, modifications were made to them earlier this month, which states that they were last modified by a user named “UK Government.”
Figure 4. Author information from the document
The malicious executable that runs in the background is known as Poison Ivy. Symantec detects this executable as Backdoor.Darkmoon.
Backdoor.Darkmoon is a well-known remote access Trojan (RAT) that has been used in various targeted attack campaigns over the years, including The Nitro Attacks which we reported on in 2011.
When executed, this version of Backdoor.Darkmoon will copy itself to %Windir% as winupdsvc.exe. It will then attempt to connect to the following URLs on ports 80, 8080, or 443:
While this particular campaign leverages Darkmoon, we have found other campaigns from the same group using different threats. Last month, we found them using Java remote access tools (jRAT) that we identify as Backdoor.Jeetrat and Backdoor.Opsiness, also known as Frutas RAT.
Security Response is aware of other groups using the G20 Summit as a theme in targeted attacks, which showcases how this particular meeting is ripe for attackers to use as bait.
最近、標的型攻撃でマルウェアを企業に送りつける手段として、ショートカットファイルがよく使われるようになってきました。シマンテックは、ネットワークに侵入するためにショートカットファイルが使われるさまざまな手法を確認しており、その一例を以前のブログでもお伝えしました。最近も、セキュリティ製品による検出をすり抜け、電子メールの受信者を欺いて添付ファイルを実行させるためにショートカットファイルが使われている別の例が見つかっています。この亜種では、分割したマルウェアと、それを再結合するためのショートカットファイルを添付した電子メールが送信されます。
この攻撃に使われる電子メールには、ショートカットファイルを含むアーカイブファイルが添付されています。ショートカットにはフォルダのアイコンが使われていますが、それとは別に実際のフォルダもあり、そこに Microsoft 文書ファイルと、.dat 拡張子の付いた 2 つの隠しファイルが含まれています。
図 1. 添付されているアーカイブファイルの内容
図 2. Summit-Report1 フォルダの内容
エクスプローラをデフォルト設定で使っている一般的なユーザーであれば、アーカイブファイルには 2 つのフォルダだけが含まれているように見えるでしょう。2 つのフォルダのどちらかをクリックすると、文書ファイルを含むフォルダに移動しますが、実際にはショートカットファイルであるフォルダを開こうとすると、copy コマンドが実行され、2 つの .dat ファイルが結合されて 1 つの悪質なファイルが生成されます。こうしてコンピュータはマルウェアに感染してしまいます。添付されているアーカイブファイルの構造はさまざまですが、複数に分割されたファイルとショートカットファイルが含まれている点は変わりません。
図 3. ショートカットファイルのプロパティに、.dat ファイルの結合に使われるスクリプトの一部が表示される
図 4. ~$1.dat の中のバイナリデータ
図 5. ~$2.dat の中のバイナリデータ
図 6. 結合後の実行可能ファイルのバイナリデータ
攻撃の前にマルウェアを分割しておき、被害者のコンピュータ上で再結合するという手口が使われている理由は、いくつか考えられます。最大の理由は、悪質なファイルが検出されるのを防ぐためでしょう。ファイルがいくつかの部分に分割されていれば、セキュリティ製品が悪質なファイルと判定するのは困難だからです。さらに、ゲートウェイセキュリティ製品によって実行可能ファイルが削除されるのを防ぐという理由も考えられます。一般的なゲートウェイ製品には、ファイルタイプを基準にファイルをフィルタ処理する機能があります。電子メールに実行可能ファイルが添付されている場合にそれを削除するように設定できるので、IT 部門ではたいていそのようなフィルタ処理を実施しています。
ショートカットファイルはごく単純で、費用も掛かりません。脆弱性を利用する必要がないので、リソース負荷が高くなることもなく、被害者のコンピュータが脆弱になっている必要もありません。アイコンをフォルダや文書ファイルのように見せかけるのも簡単です。悪質なファイルを準備したら、後は 1 行スクリプトを作成するだけで攻撃態勢が整います。
このような手口の攻撃に備えるには、どうすればよいでしょうか。一般的な状況であれば、電子メールにショートカットファイルを添付する合理的な理由はありません。電子メールの添付ファイルとしてショートカットファイルは不要だと判断できれば、ネットワークのゲートウェイでフィルタ機能を使ってショートカットファイルを除外することを検討できます。
シマンテックは、このブログで説明したマルウェアを Trojan Horse として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Shortcut files have recently become a common vehicle used in targeted attacks to deliver malware into organizations. Symantec has observed a variety of ways shortcut files are being used to penetrate networks, such as the one described in a previous bl…
深刻化するシリアの情勢に対して国際社会が対応に苦慮するなか、詐欺師はまたしても、今最も話題になっているニュースを悪用して自分のスキルを誇示しています。同様の手口についてはこれまでにも、エジプトやリビアの政情不安、ラグビーのワールドカップのときにお伝えしました。
最近シマンテックが確認した詐欺メッセージは、赤十字社から送信されたように偽装されていました。メッセージでは、情勢の悪化によってどれほど人道的な危機が差し迫っているかを説明し、赤十字社と赤新月社を支援するよう強く求めています。
不思議なことに、電子メールには実際の英国赤十字社の Web サイトへのリンクがありますが、MoneyGram または Western Union の送金サービスを使って 500 英ポンド(約 76,000 円)を寄付するよう促しています。
英国赤十字社は現在、シリア危機の犠牲者のための寄付を募っていますが、これらの送信サービスは利用していません。
募金を考えている方は、必ず正規の Web サイトを通じて送金するようご注意ください。
このほか、シリア国内の人が送信したと騙る詐欺メールも確認されています。財産を守るため、あるいは事業を立ち上げるためと称して、資金を国外に持ち出す協力を請うという内容です。この手の詐欺は、送信者の膨大な財産から一部を分け前として提供すると約束し、事態の緊急性を訴えて即時の応答を求めています。ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。