Tag Archives: jRAT

?????????????????????????? JRAT

      No Comments on ?????????????????????????? JRAT
Java ベースのリモートアクセスツール(RAT)を使った攻撃も、もはや異例ではなくなりました。過去数年間で広がりを見せ、その後も企業と個人の両方を標的にし続けています。こういった攻撃がこれほど一般化したのも、特に驚くことではありません。RAT によってコンピュータへの感染に成功すると、攻撃者はそのコンピュータを完全に制御できるからです。それだけでなく、この攻撃は理論上、Java が稼働しているあらゆるコンピュータを標的にするので、オペレーティングシステムの種類も限定されません。ほんのいくつかの RAT のソースコードがオンラインで公然と共有されているおかげで、攻撃者は Java RAT を容易に利用することができます。
 
シマンテックは今月、Java RAT(JRAT)を拡散する新しいスパム攻撃を確認しました。攻撃が始まったのは 2014 年 2 月 13 日です。スパムメールの送信者は、支払い証明書を添付したと称して、その受信を確認するようユーザーに求めてきます。
 
Capture_email_figure1.png
図 1. 新しい Java RAT 攻撃で使われているスパムメール
 
添付されているのは、実際には悪質な Paymentcert.jar という名前のファイル(Trojan.Maljava として検出されます)です。このトロイの木馬を実行すると、侵入先のコンピュータに JRAT(Backdoor.Jeetrat として検出されます)が投下されます。RAT は、Windows PC に限らず Linux、Mac OS X、FreeBSD、OpenBSD、さらには Solaris ベースのコンピュータにも感染します。この RAT は以前の標的型攻撃でも確認されており、新しいものではありません。次の画像に示すように、JRAT のビルダーを使うと、独自にカスタマイズした RAT を作成するのが、いかに簡単かわかります。
 
image2_figure2.png
図 2. JRAT のビルダー
 
シマンテックの遠隔測定でこのドロッパーを調べたところ、今回の攻撃はアラブ首長国連邦と英国に特に集中しています。
 
map_figure3.png
図 3. 支払い証明書スパム活動の分布図(2014 年 2 月)
 
今回の攻撃は、特定の個人を標的にしていると考えられます。被害者数が少ないこと、ドロッパーがこの攻撃特有なものであること、コマンド & コントロール(C&C)サーバーが 1 つであること、そしてスパムメールの大部分が個人の電子メールアドレス宛てに送信されていることなど、いくつかの特徴から、これは標的型の性質があると断定できるようです。
 
newchart_figure4.png
図 4. シマンテックの遠隔測定で判明した、2014 年 2 月の攻撃による被害者数
 
迷惑メールや心当たりのない疑わしい電子メールを受信した場合は、十分に警戒することをお勧めします。電子メールの信憑性に疑問がある場合には、けっして返信せず、メッセージ中のリンクをクリックしたり添付ファイルを開いたりしないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

JRAT Targets UK and UAE in Payment Certificates Spam Campaign.

Java remote access Trojan (RAT) campaigns aren’t rare anymore. Their prevalence has increased in the past few years and they have continued to target both enterprises and individuals. The popularity of these campaigns isn’t surprising, as if an attacker successfully infects a victim’s computer with a RAT, then they could gain full control of the compromised computer. Along with this, these threats aren’t limited to one operating system, as in theory, they focus on any computer that runs Java. Attackers have easy access to Java RATs thanks to the fact that a handful of these RATs’ source code is being openly shared online
 
This month, we have observed a new spam campaign delivering a Java RAT known as JRAT, which started on February 13, 2014. The spam email’s sender claims that they have attached a payment certificate to the message and asks the user to confirm that they have received it. 
 
Capture_email_figure1.png
Figure 1. Spam email as part of the new Java RAT campaign
 
The email actually contains a malicious attachment with the file name Paymentcert.jar, detected as Trojan.Maljava. If the Trojan is executed, it will drop JRAT, detected as Backdoor.Jeetrat, on the compromised computer. The RAT not only affects Windows PCs, but also Linux, Mac OSX, FreeBSD, OpenBSD, and Solaris computers. This RAT is not new, as we have seen it in previous targeted attacks. JRAT’s builder, as seen in the following image, shows just how easy it is for an attacker to create their own customized RAT. 
 
image2_figure2.png
Figure 2. JRAT’s builder 
 
Our telemetry on the dropper shows that the campaign has predominantly affected the United Arab Emirates and the United Kingdom.  
 
map_figure3.png
Figure 3. Payment certificate spam campaign heat map for February 2014
 
This campaign appears to be targeting specific individuals. Certain aspects of the attack seem to confirm the targeted nature of the campaign, such as the low victim numbers, a unique dropper, one command-and-control (C&C) server and the fact that the majority of these spam messages were sent to personal email addresses. 
 
newchart_figure4.png
Figure 4. Number of people affected by the campaign in February 2014, according to our telemetry
 
Symantec advises users to be on their guard when they receive unsolicited, unexpected, or suspicious emails. If you aren’t sure of the email’s legitimacy, then don’t respond to it and avoid clicking on links in the message or opening attachments. 

Backdoor.Darkmoon ??????????????? G20 ????

      No Comments on Backdoor.Darkmoon ??????????????? G20 ????

今週ロシアのサンクトペテルブルクで開催が予定されている G20 サミットを目前にして、攻撃者はサミットの知名度を標的型攻撃に利用しています。

シマンテックが検出したある攻撃では、金融機関、金融サービス企業、政府機関、経済開発関連の組織など複数のグループを標的としています。
 

image1_11.png

図 1. G20 の代表から送信されたと騙る電子メール
 

この電子メールは、G20 代表に代わって送信されたと称しています。そのうえで、以下のような文面が続きます。
 

Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
(更新版のビルディングブロックを回覧していただき、大変ありがとうございます。英国のコメントは添付ファイルでご覧ください。それでは、サンクトペテルブルクでお会いできることを楽しみにしています。)
 

ここで言われている「ビルディングブロック」とは、開発、汚職防止、雇用に対処する一連のビルディングブロックに対する英国政府のフィードバックを議論している複数の文書のテーマです。
 

image2_6.png

図 2. 悪質な添付ファイル内のファイル
 

この電子メールに添付されているのは、RAR 形式のアーカイブファイルで、アーカイブファイルには 5 つのファイルが含まれています。そのうち 2 つは、ファイルタイプが偽装されており、実際には、文書ファイルの 1 つが実行可能ファイルであり、.msg ファイルが .lnk ファイルです。.lnk ファイルは、これまでにも攻撃に使われたことがあります(参照 1参照 2)。被害者が .msg ファイルを実行しようとすると、悪質な実行可能ファイルと、悪質ではない文書の 1 つが実行されます。アーカイブファイルに含まれている 5 つのファイルとその MD5 ハッシュ値は、以下のとおりです。
 

ファイル名

MD5 ハッシュ値

UKcomments.msg.lnk

7960F23DC79D75005C1C98D430FAC39B

UK_Building_block_TRADE.docx

53C60480254BCEB41660BD40AA12CECB

UK_Building_block_ANTICORRUPTION.doc

099A1C43677FD1286B380BCBF9BE90F4

UK – Building block_EMPLOYMENT – Aug.docx

05BC1C528E6CD49C9B311C25039FC700

UK – Building block_DEVELOPMENT – Aug.docx

C9F0DFAD687F5700325C4F8AEAEFC5F8

 

image3_6.png

図 3. 被害者に送信される悪質ではない文書
 

被害者には、悪質でない文書の内容が表示されます。これらの文書で注目に値するのは、いずれも変更履歴が有効になっており、元の電子メールで言及されていた、英国からのコメントが記入されていることです。現時点で、これらの文書の正当性は確認できませんが、シマンテックの調べによると変更は今月の初めに行われており、最終更新者は「UK Government(英国政府)」という名前のユーザーでした。
 

image4_2.png

図 4. 文書の作成者情報
 

バックグラウンドで実行される悪質な実行可能ファイルは、Poison Ivy として知られるものです。シマンテックは、この実行可能ファイルを Backdoor.Darkmoon として検出します。

Backdoor.Darkmoon は、悪名高いリモートアクセス型のトロイの木馬(RAT)のひとつで、過去数年間にさまざまな標的型攻撃に使われてきました。たとえば、シマンテックが 2011 年に報告した Nitro 攻撃でも使われています。

Backdoor.Darkmoon のこの亜種は、実行されると自身を winupdsvc.exe として %Windir% ディレクトリにコピーしたうえで、ポート番号 80、8080、443 で以下の URL に接続しようと試みます。

  • [http://]www.verizon.itemdb.com
  • [http://]www.verizon.dynssl.com
  • [http://]www.verizon.proxydns.com

今回の攻撃では Darkmoon が利用されていますが、同じグループによる攻撃で別の脅威が使われた例も確認しています。先月には、Java リモートアクセスツール(jRAT)を使う例を確認しており、シマンテックは Backdoor.Jeetrat および Backdoor.Opsiness として検出します。また。この脅威は Frutas RAT としても知られています。

セキュリティレスポンスは、他のグループも標的型攻撃に G20 サミットを利用していることを確認しており、今回のサミットが攻撃者にとっては絶好の素材になっていることが裏付けられています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

G20 Summit Used as Bait to Deliver Backdoor.Darkmoon

Ahead of tomorrow’s G20 summit in Saint Petersburg, Russia, attackers are leveraging the meeting’s visibility in targeted attacks.

One particular campaign we have identified is targeting multiple groups. They include financial institutions, financial services companies, government organizations, and organizations involved in economic development.
 

image1_11.png

Figure 1. Email purporting to be from G20 Representative
 

The email purports to be sent on behalf of a G20 representative. The email continues:
 

Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
 

The ‘building blocks’ mentioned are the theme of multiple documents, which discuss the UK government’s feedback on a series of building blocks to address development, anti-corruption, and employment.
 

image2_6.png

Figure 2. File listing for malicious attachment
 

Attached to the email is a RAR archive file. The archive contains five files. Of the five files, two of them masquerade as different file types. One of the documents is actually an executable, while the .msg file is a .lnk file, which we have seen used in attacks before. If the victim tries to run the .msg file, it will run both the malicious executable and one of the non-malicious documents. The five files contained in the archive, and their MD5s, are as follows:
 

File name

MD5

UKcomments.msg.lnk

7960F23DC79D75005C1C98D430FAC39B

UK_Building_block_TRADE.docx

53C60480254BCEB41660BD40AA12CECB

UK_Building_block_ANTICORRUPTION.doc

099A1C43677FD1286B380BCBF9BE90F4

UK – Building block_EMPLOYMENT – Aug.docx

05BC1C528E6CD49C9B311C25039FC700

UK – Building block_DEVELOPMENT – Aug.docx

C9F0DFAD687F5700325C4F8AEAEFC5F8

 

image3_6.png

Figure 3. Non-malicious document presented to the victim
 

The victim will be shown a non-malicious document. What is interesting about these documents is that each of them has track changes enabled and contains the reported comments from the UK called out in the original e-mail. At this time, we cannot verify the authenticity of these documents, but from our observation, modifications were made to them earlier this month, which states that they were last modified by a user named “UK Government.”
 

image4_2.png

Figure 4. Author information from the document
 

The malicious executable that runs in the background is known as Poison Ivy. Symantec detects this executable as Backdoor.Darkmoon.

Backdoor.Darkmoon is a well-known remote access Trojan (RAT) that has been used in various targeted attack campaigns over the years, including The Nitro Attacks which we reported on in 2011.

When executed, this version of Backdoor.Darkmoon will copy itself to %Windir% as winupdsvc.exe. It will then attempt to connect to the following URLs on ports 80, 8080, or 443:

  • [http://]www.verizon.itemdb.com
  • [http://]www.verizon.dynssl.com
  • [http://]www.verizon.proxydns.com

While this particular campaign leverages Darkmoon, we have found other campaigns from the same group using different threats. Last month, we found them using Java remote access tools (jRAT) that we identify as Backdoor.Jeetrat and Backdoor.Opsiness, also known as Frutas RAT.

Security Response is aware of other groups using the G20 Summit as a theme in targeted attacks, which showcases how this particular meeting is ripe for attackers to use as bait.