Tag Archives: Operation Hangover

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

New Zero-day Vulnerability Used in Operation Hangover Attacks

On November 5, Microsoft issued an advisory and a blog post to report a new zero-day vulnerability in the Microsoft Graphics component that affects Windows, Microsoft Office and Microsoft Lync: the Multiple Microsoft Products Remote Code Execution Vulnerability (CVE-2013-3906). The advisory states that the vulnerability exists in the way that certain components handle specially crafted TIFF images, potentially allowing an attacker to remotely execute code on the affected computer. 
 
While Microsoft has yet to release a patch for this vulnerability, it has provided a temporary “Fix It” tool as a workaround until a security update is made available. To ensure that Symantec customers are protected from attacks using this zero-day vulnerability, the following protection is being released:
 
Antivirus
  • Trojan.Hantiff
  • Bloodhound.Exploit.525
 
Intrusion Prevention System
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
The Microsoft blog post states that this vulnerability is being actively exploited in targeted attacks using crafted Word documents sent in emails. Symantec’s research into the exploitation of this zero-day flaw in the wild has shown that our Symantec.Cloud service preemptively blocks emails sent as part of this attack. Here are some examples of the email subject headings and the attached files’ names seen in the attack:
 
File name: Details_Letter of Credit.doc
Email subject: Illegal Authorization for Funds Transfer
 
File name: Missing MT103 Confirmation.docx
Email subject: Problem with Credit September 26th 2013
 
File name: Illegality_Supply details.docx
Email subject: Illegal Authorization for Funds Transfer
 
After analyzing the payloads being used in this attack, we have identified that the targeted emails are part of an attack campaign known as Operation Hangover, which we covered back in May 2013 in the blog post: Operation Hangover: Q&A on Attacks. At that time, the group behind these attacks was known to have used multiple vulnerabilities, but was not known to have used any zero-day flaws in the attacks. As predicted in our previous blog post, the exposure of Operation Hangover would not adversely affect the activities of the group orchestrating the campaign, which can be clearly seen now with these latest activities involving the zero-day vulnerability. 
 
Symantec has protection in place for the threats used in this latest wave of the Operation Hangover campaign as Trojan.Mdropper, Downloader and Infostealer. To allow customers to identify this attack, we are mapping the latest components of the Operation Hangover campaign to Trojan.Smackdown.B and Trojan.Hangove.B. 
 
Symantec will continue to investigate this attack to ensure that the best possible protection is in place. As always, we recommend that users keep their systems up-to-date with the latest software patches and refrain from opening any suspicious emails. We also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of this kind.

Operation Hangover の攻撃に関する Q&A

5 月 20 日、Norman 社と Shadowserver Foundation は「Operation Hangover」と題する詳細なレポートを共同で公開しました。このレポートは、インドから発信されていると思われる標的型のサイバースパイ攻撃に関する先日の ESET 社のブログに関連しています。シマンテックも先週この事案について短いブログを公開しましたが、以下の Q&A では、このグループについて特にシマンテックに関連のある追加情報をお届けします。

Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Operation Hangover が関与する攻撃から保護しています。また、Symantec.cloud も、このグループによる標的型電子メールを検出します。

Q: シマンテックは Operation Hangover の活動に気づいていましたか?
はい。前回のブログでも指摘したように、複数のセキュリティベンダーがその活動を追跡していますが、シマンテックは、長年にわたってこのグループに関する情報を捕捉しており、その活動を追跡しています。また、Operation Hangover によって利用されているさまざまな脅威に対して常に最善の保護対策を提供しています。

Q: Operation Hangover という名前の由来は何ですか?
Norman 社と Shadowserver Foundation が Operation Hangover という名前を使ったのは、このグループによって特に頻繁に利用されているマルウェアに、この名前を含むプロジェクトデバッグパスが使われていたからです。

Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。図 1 に、Operation Hangover による攻撃の各段階を示します。

NewHangove_0.png

図 1. Operation Hangover による攻撃

この電子メールには悪質なファイルが添付されており、開くと標的のシステムに感染するか、標的のシステムの脆弱性を悪用しようとします。成功すると、第 1 段階のマルウェアが侵入先のシステムにロードされます。このマルウェアは大部分が、Smackdown として知られる Visual Basic ダウンローダからのものです。

侵入先のシステムの調査を済ませると、攻撃者は第 2 段階のマルウェアをダウンロードするかどうかを決定できるようになります。これは、大部分が C++ で記述された情報窃盗マルウェアで、HangOve というマルウェアグループに属します。HangOve グループでダウンロードされるモジュールはいくつかあり、以下の処理を実行します。

  • キーロガー
  • 逆接続
  • スクリーングラバー
  • 自己複製
  • システム情報収集

Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、この攻撃は主としてパキスタンを標的にしていることが確認されています。一連の攻撃では防衛関連の文書が餌として使われていることから、特に狙われているのは政府のセキュリティ機関と考えられますが、同じグループがパキスタン以外では産業スパイ活動に関与していることも確認されています。

Q: この脅威はどのように拡散するのですか?
図 2 と 3 に示すように、シマンテックの遠隔測定によると、このグループの被害が最も大きいのはパキスタンです。これは、同グループに関する他の調査結果とも一致しています。すでに述べたように、このグループの活動は 1 つの標的または地域に限定されてはいません。

HeatMap.png

図 2. シマンテックの遠隔測定で検出された Operation Hangover 関連の分布図

Pie.png

図 3. シマンテックの遠隔測定で Operation Hangover の攻撃が検出された上位 10 カ国

Q: このグループによって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
シマンテックは、このグループによって利用される脅威に対して以下の名前で検出定義を用意しています。

シマンテック製品をお使いのお客様がこのグループを特定できるように、この攻撃活動の主なコンポーネントは、以下のように再定義されています。

以下の IPS(侵入防止シグネチャ)も用意されています。

  • System Infected: Trojan.Hangove Activity

Q: シマンテック製品やノートン製品は、このグループによって利用されている悪用から保護されていますか?
はい。このグループが悪用している既知の脆弱性と、それに対するシマンテックの保護定義を以下に示します。現時点で、このグループがゼロデイ脆弱性を攻撃に利用している、またはこれまでに利用した形跡はありません。

Table1.png

Q: 今回のレポートは、Operation Hangover を実行しているグループの活動にどう影響するでしょうか?
これまでの例と同様、ここまで情報が明らかになりながらも、Operation Hangover のグループは今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Operation Hangover の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。いつものことですが、このようなグループの攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operation Hangover: Q&A on Attacks

Today Norman and the Shadowserver Foundation released a joint detailed report dubbed Operation Hangover, which relates to a recently released ESET blog about a targeted cyber/espionage attack that appears to be originating from India. Symantec released a brief blog around this incident last week and this Q&A will provide additional information relevant to Symantec around this group.

Q: Do Symantec and Norton products protect against threats used by this group?

Yes. Symantec confirms protection for attacks associated with Operation Hangover through our antivirus and IPS signatures, as well as STAR malware protection technologies such as our reputation and behavior-based technologies. Symantec.cloud also detects the targeted emails used by this group.

Q: Has Symantec been aware of the activities of Operation Hangover?

Yes. As called out in our initial blog, multiple security vendors have been tracking this group. Symantec has been privy to information surrounding this group for a period of time and has been actively tracking their work while ensuring that the best possible protection was in place for the various threats used by them.

Q: Where does the name Operation Hangover come from?

Norman and Shadowserver derived the name Operation Hangover, as one of the most prevalent malwares used by this group contains a project debug path containing this name.

Q: How does a victim get infected?

The initial compromise occurs through a spear phishing email sent to the target. The email contains an attachment using a theme relevant to the target. Figure 1 shows the different stages in the Operation Hangover attack.

3200837-Infection-Diagram.png

Figure 1. Operation Hangover attack

The email contains a malicious attachment that, if opened, infects the victims system or attempts to use an exploit against the target victim’s system. If successful, the first stage malware is loaded onto the victim’s system. This malware, in the most part, is from a family of Visual Basic downloaders known as Smackdown.

Following reconnaissance of the infected system by the attacker, they can then decide whether to download the second stage of malware that consists of information stealers mostly written in C++ from a malware family known as HangOve. There are several possible modules from the HangOve family downloaded, which can perform the following taks:

  • Keylogging
  • Backconnect
  • Screen grabber
  • Self-replication
  • System gathering

Q: Does Symantec know who this group is targeting?

Yes. Symantec telemetry has identified Pakistan as being the main target of this attack. With defense documents being used as a lure in these attacks, it would suggest the targets of interest are government security agencies. Symantec has however also observed this group taking part in industrial espionage in countries outside of Pakistan.

Q: How widespread is the threat?

As seen in figure 2 and 3, Symantec telemetry is reporting Pakistan as being the main country impacted by this group. These findings correspond to other researcher’s findings in relation to this group. As previously stated, it is also evident that the operations of this group does not solely focus on one target or region.

HeatMap.png

Figure 2. Heat map of Symantec telemetry for Operation Hangover related detections

Pie.png

Figure 3. Top 10 countries showing Symantec telemetry for Operation Hangover detections

Q: What name does Symantec give to threats used by this group?

Symantec has detection in place for the threats used by this group under the following detection names:

For Symantec customers to identify this group, we are remapping the main components of this campaign to the following:

  • Trojan.Smackdown
  • Trojan.Smackup
  • Trojan.Hangove

The following Intrusion Prevention Signature (IPS) is also in place.

  • System Infected: Trojan.Hangove Activity

Q: Do Symantec/Norton products protect against known exploits used in this campaign?

Yes. The known vulnerabilities being used by this group are listed below along with the Symantec protections. At this time there is no evidence to suggest that the group are using, or have at any time used, a zero-day vulnerability in their attacks.

Table1.png

Q: How will this report affect the group orchestrating Operation Hangover?

Similar to other cases, despite the exposure of the Operation Hangover group, Symantec believes they will continue their activities. Symantec will continue to monitor their activities and provide protection against these attacks. As always, we advise customers to use the latest Symantec technologies and incorporate layered defenses to best protect against attacks by groups of this kind.