Back in 2012, a key player involved with the prominent Remote Administration Tool (RAT) known as Blackshades RAT was reportedly arrested. Despite his alleged arrest, and with its code leaked in 2010, the tool is still being sold and used in cybercrimin…
今週ロシアのサンクトペテルブルクで開催が予定されている G20 サミットを目前にして、攻撃者はサミットの知名度を標的型攻撃に利用しています。
シマンテックが検出したある攻撃では、金融機関、金融サービス企業、政府機関、経済開発関連の組織など複数のグループを標的としています。
図 1. G20 の代表から送信されたと騙る電子メール
この電子メールは、G20 代表に代わって送信されたと称しています。そのうえで、以下のような文面が続きます。
Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
(更新版のビルディングブロックを回覧していただき、大変ありがとうございます。英国のコメントは添付ファイルでご覧ください。それでは、サンクトペテルブルクでお会いできることを楽しみにしています。)
ここで言われている「ビルディングブロック」とは、開発、汚職防止、雇用に対処する一連のビルディングブロックに対する英国政府のフィードバックを議論している複数の文書のテーマです。
図 2. 悪質な添付ファイル内のファイル
この電子メールに添付されているのは、RAR 形式のアーカイブファイルで、アーカイブファイルには 5 つのファイルが含まれています。そのうち 2 つは、ファイルタイプが偽装されており、実際には、文書ファイルの 1 つが実行可能ファイルであり、.msg ファイルが .lnk ファイルです。.lnk ファイルは、これまでにも攻撃に使われたことがあります(参照 1、参照 2)。被害者が .msg ファイルを実行しようとすると、悪質な実行可能ファイルと、悪質ではない文書の 1 つが実行されます。アーカイブファイルに含まれている 5 つのファイルとその MD5 ハッシュ値は、以下のとおりです。
| ファイル名 |
MD5 ハッシュ値 |
|
UKcomments.msg.lnk |
7960F23DC79D75005C1C98D430FAC39B |
|
UK_Building_block_TRADE.docx |
53C60480254BCEB41660BD40AA12CECB |
|
UK_Building_block_ANTICORRUPTION.doc |
099A1C43677FD1286B380BCBF9BE90F4 |
|
UK – Building block_EMPLOYMENT – Aug.docx |
05BC1C528E6CD49C9B311C25039FC700 |
|
UK – Building block_DEVELOPMENT – Aug.docx |
C9F0DFAD687F5700325C4F8AEAEFC5F8 |
図 3. 被害者に送信される悪質ではない文書
被害者には、悪質でない文書の内容が表示されます。これらの文書で注目に値するのは、いずれも変更履歴が有効になっており、元の電子メールで言及されていた、英国からのコメントが記入されていることです。現時点で、これらの文書の正当性は確認できませんが、シマンテックの調べによると変更は今月の初めに行われており、最終更新者は「UK Government(英国政府)」という名前のユーザーでした。
図 4. 文書の作成者情報
バックグラウンドで実行される悪質な実行可能ファイルは、Poison Ivy として知られるものです。シマンテックは、この実行可能ファイルを Backdoor.Darkmoon として検出します。
Backdoor.Darkmoon は、悪名高いリモートアクセス型のトロイの木馬(RAT)のひとつで、過去数年間にさまざまな標的型攻撃に使われてきました。たとえば、シマンテックが 2011 年に報告した Nitro 攻撃でも使われています。
Backdoor.Darkmoon のこの亜種は、実行されると自身を winupdsvc.exe として %Windir% ディレクトリにコピーしたうえで、ポート番号 80、8080、443 で以下の URL に接続しようと試みます。
今回の攻撃では Darkmoon が利用されていますが、同じグループによる攻撃で別の脅威が使われた例も確認しています。先月には、Java リモートアクセスツール(jRAT)を使う例を確認しており、シマンテックは Backdoor.Jeetrat および Backdoor.Opsiness として検出します。また。この脅威は Frutas RAT としても知られています。
セキュリティレスポンスは、他のグループも標的型攻撃に G20 サミットを利用していることを確認しており、今回のサミットが攻撃者にとっては絶好の素材になっていることが裏付けられています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Ahead of tomorrow’s G20 summit in Saint Petersburg, Russia, attackers are leveraging the meeting’s visibility in targeted attacks.
One particular campaign we have identified is targeting multiple groups. They include financial institutions, financial services companies, government organizations, and organizations involved in economic development.
Figure 1. Email purporting to be from G20 Representative
The email purports to be sent on behalf of a G20 representative. The email continues:
Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
The ‘building blocks’ mentioned are the theme of multiple documents, which discuss the UK government’s feedback on a series of building blocks to address development, anti-corruption, and employment.
Figure 2. File listing for malicious attachment
Attached to the email is a RAR archive file. The archive contains five files. Of the five files, two of them masquerade as different file types. One of the documents is actually an executable, while the .msg file is a .lnk file, which we have seen used in attacks before. If the victim tries to run the .msg file, it will run both the malicious executable and one of the non-malicious documents. The five files contained in the archive, and their MD5s, are as follows:
|
File name |
MD5 |
|
UKcomments.msg.lnk |
7960F23DC79D75005C1C98D430FAC39B |
|
UK_Building_block_TRADE.docx |
53C60480254BCEB41660BD40AA12CECB |
|
UK_Building_block_ANTICORRUPTION.doc |
099A1C43677FD1286B380BCBF9BE90F4 |
|
UK – Building block_EMPLOYMENT – Aug.docx |
05BC1C528E6CD49C9B311C25039FC700 |
|
UK – Building block_DEVELOPMENT – Aug.docx |
C9F0DFAD687F5700325C4F8AEAEFC5F8 |
Figure 3. Non-malicious document presented to the victim
The victim will be shown a non-malicious document. What is interesting about these documents is that each of them has track changes enabled and contains the reported comments from the UK called out in the original e-mail. At this time, we cannot verify the authenticity of these documents, but from our observation, modifications were made to them earlier this month, which states that they were last modified by a user named “UK Government.”
Figure 4. Author information from the document
The malicious executable that runs in the background is known as Poison Ivy. Symantec detects this executable as Backdoor.Darkmoon.
Backdoor.Darkmoon is a well-known remote access Trojan (RAT) that has been used in various targeted attack campaigns over the years, including The Nitro Attacks which we reported on in 2011.
When executed, this version of Backdoor.Darkmoon will copy itself to %Windir% as winupdsvc.exe. It will then attempt to connect to the following URLs on ports 80, 8080, or 443:
While this particular campaign leverages Darkmoon, we have found other campaigns from the same group using different threats. Last month, we found them using Java remote access tools (jRAT) that we identify as Backdoor.Jeetrat and Backdoor.Opsiness, also known as Frutas RAT.
Security Response is aware of other groups using the G20 Summit as a theme in targeted attacks, which showcases how this particular meeting is ripe for attackers to use as bait.
Contributor: Lionel Payet
Political news has always been one of the top topics used in targeted attacks. Last week we came across unique malicious emails targeting high-profile companies in Europe and Asia (in sectors such as finance, mining, telecom, …
先日のブログでお伝えしたように、Java で記述されているために複数のオペレーティングシステムで実行できるリモートアクセスツール(RAT)の活動が活発化しています。Android オペレーティングシステムが急速に普及している状況で、Android OS が最新の標的となり、RAT に対して無防備なのは当然です。アンダーグラウンドフォーラムでは、昨年の終わり頃から AndroRAT(Android.Dandro)として知られる無償の Android 版 RAT が公開されています。そして最近、AndroRAT を使って簡単に正規のアプリを再パッケージ化し、トロイの木馬を仕掛けることのできるツールが初めて登場しました。アンダーグラウンド経済がサイバー犯罪者の需要に応えようとすることを考えれば、これも当然の流れでしょう。
図 1. 世界最初のバインダを謳ってアンダーグラウンドで販売されている「バインダ」ツール
オープンソースの Android 版 RAT である AndroRAT が公開され、インターネット上で誰でも入手できるようになったのは、2012 年 11 月のことです。他の RAT と同様に AndroRAT でも、攻撃者はわかりやすいコントロールパネルを使って侵入先のデバイスを制御できます。たとえば、デバイス上で実行されている AndroRAT は、電話をかけたり監視したりするほか、SMS メッセージを送信する、デバイスの GPS 座標を取得する、カメラとマイクを有効化して利用する、デバイスに保存されたファイルにアクセスするといったことが可能です。
図 2. AndroRAT のコントロールパネル
RAT は、Android の標準アプリケーションフォーマットである APK の形で提供されます。AndroRAT APK バインダと組み合わせて使えば、専門知識の乏しい攻撃者でも AndroRAT を使って簡単に、正規の Android アプリに感染するプロセスを自動化し、トロイの木馬を仕掛けることができます。トロイの木馬を仕掛けられた正規のアプリがデバイスにインストールされると、ユーザーは何も知らずに、目的の正規アプリとともに AndroRAT もインストールすることになります。攻撃者は、ユーザーを欺いて Android セキュリティモデルの機能をすり抜けられるわけです。シマンテックは現在までに、人気のある 23 種類の正規アプリが AndroRAT によって実際にトロイの木馬を仕掛けられていることを確認しています。
これに続いて、シマンテックは有償版の Java RAT も確認しています。これが Adwind(Backdoor.Adwind)で、すでに複数のオペレーティングシステムに対応しているうえに、AndroRAT のオープンソースコードに基づいて Android モジュールを取り込みつつあるようです。有償版のこの RAT にも、リモートで RAT を管理制御できるグラフィカルユーザーインターフェースが装備されています。
図 3. Adwind のメインコントロールパネル
Adwind が Android で動作するところを解説したデモンストレーション用ビデオでも、感染したデバイス上に AndroRAT が存在していることが示され、Adwind の作成者が AndroRAT ツールをカスタマイズして Adwind に取り込んでいる可能性が示唆されています。AndroRAT のコードが、カスタマイズして新しい脅威やツールを簡単に作成できるというオープンソースの性質を備えている以上、こうした展開もなんら不思議なことではありません。
図 4. 感染したデバイス上に AndroRAT が存在することを示す Adwind のビデオからのスクリーンショット
シマンテックの現在の遠隔測定によると、米国とトルコが最も頻繁に Android.Dandro の標的になっています。感染数は全世界でも数百件どまりですが、遠隔測定では、最近になって感染数が増えていることも報告されています。AndroRAT 用のツールがますます流通し高機能になっていることを考えれば、増加傾向は今後も続くものとシマンテックは予測しています。
図 5. 感染の分布図
リモートアクセスツールの進化が Android プラットフォームに向かうことは、以前から予期されていました。AndroRAT は今のところ、それほど高機能ではなさそうですが、コードがオープンソースであり人気も高くなっている以上、さらに深刻な脅威に発展する恐れは十分にあります。
この脅威を Android.Dandro として検出する、ノートン モバイルセキュリティなどのセキュリティアプリをインストールすることをお勧めします。スマートフォンとタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In a previous blog, we talked about the rise of remote access tools (RAT) written in Java that are capable of running on multiple operating systems. With the growing popularity of the Android operating system, it comes as no surprise that the Android O…
We recently came across an attack campaign which looked quite unusual compared to the standard attacks normally seen in the wild. This campaign is targeting government agencies by sending phishing emails with a malicious attachment. Nothing new so far,…
The malicious binary behind the Travnet botnet has been updated. The new code has a new compression algorithm, steals the list of running processes, adds new file extensions to its list of files to steal, and has improved its control commands. Also, after the malware has uploaded the stolen files on its remote server, the Read more…