Tag Archives: Security Response

Blackhole ?????????????????????

Hacker Medic March 22, 2013 No Comments

ヨーロッパ連合（EU）の財政危機は最近、劇的な展開を見せています。EU でも特に人口の少ない加盟国であるキプロスで、普通預金の残高に対して 1 回限り 10 パーセントの課税計画が発表されました。全島の銀行で口座が封鎖され、議会では前例のない措置について討論されています。その間、不安を抱える口座名義人は、自分たちの預金の行方について事態の推移を見守るしかありません。株主や投資家ではなく、一般の顧客です。

悪名高い Blackhole 悪用ツールキットについては、このブログでも過去に何度となく取り上げてきましたが、その Blackhole もキプロスの一般市民の不安心理につけ込み、事態の新展開を報じるニュースを装った電子メールを送りつけています。

図 1. Blackhole 悪用ツールキットが送る悪質な電子メール

メッセージは、英国放送協会（BBC）ニュースサイトのおすすめ記事紹介サービスから送信されたことになっています。送信元アドレスも、BBC おすすめメッセージを名乗る件名と同様に詐称されたものです。

メッセージからリンクされるランディングページは、「Cyprus Crysys [sic] – BBC（キプロス機危 [原文まま] – BBC）」というタイトルで、BBC の実際のニュースに偽装しています。このページには、「You will be redirected to news（ニュースサイトにリダイレクトされます）」とも書かれています。

図 2. Blackhole 悪用ツールキットが偽装した BBC ニュースのランディングページ

実際のリダイレクト先は、おなじみの Blackhole 悪用ツールキットのページで、そこには Adobe Flash Player や Adobe Acrobat Reader、Java の脆弱性を狙ういくつかの悪用コードが仕掛けられています。数秒後にはタイマー機能が実行され、今度は本物の BBC Web サイトにリダイレクトされます。

図 3. Blackhole 悪用ツールキットで不明瞭化された、脆弱性を悪用する JavaScript

前述したように、キプロスは EU でも特に人口の少ない加盟国ですが、この国で起きる出来事の影響はそれ以上に大きい意味を持っています。ギリシャの多くの人々が、最近の財政危機と政治的不安定のなか、預金を保全するためにキプロスの銀行に資金を移動したからです。また、キプロスはロシア企業にとってオフショアセンターとしても大きな役割をはたしています。

その後、キプロス議会がこの課税案を否決したため、新しい Blackhole 悪用ツールキットのソーシャルエンジニアリングメールでは、北米の大手銀行が使われるようになっています。マルウェアの作成者が、情勢の変化にいかに迅速に対処するかという見本です。

Symantec.cloud では、50 件以上の Web サイトが危殆化し、Blackhole 悪用ツールキットの最新のソーシャルエンジニアリング攻撃へのリダイレクトに利用されていることを確認しています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Indian Websites Pursued by Phishers

Hacker Medic March 21, 2013 No Comments

Contributor: Ayub Khan
Symantec has been constantly monitoring phishing sites hosted on compromised Indian websites. In 2011, our study detailed these compromised sites and we did a similar study of phishing sites in 2012.
From August 2012 to November …

????????: Facebook Black ?????????

Hacker Medic March 21, 2013 No Comments

Facebook をお使いであれば、3 月 19 日頃、Facebook Black というアプリについて友達からの投稿が増えたことに気づかれたかもしれません。

図 1. Facebook の写真用プラグイン「Faecbook Black」（タイプミスがあることに注意）

これまでの詐欺と同様、ユーザーがタグ付けされた写真に、外部 Web サイトへのリンクが仕掛けられています。この例では、リンクは説明欄ではなくコメント欄にあります（図 1）。

図 2. iframe によってランディングページにリダイレクトされるが、一瞬だけこのページが表示される

Facebook へのリンクをクリックすると、Facebook ページにリダイレクトされます。リダイレクト先のページには iframe が設定されており（図 2）、何度かのリダイレクトを経て最終的に行き着くページでは Facebook Black のインストールを促されます。

これまでにシマンテックで確認され、Facebook Black のランディングページへ誘導されるサイトの例を以下に示します。

photocurious.com
phototart.com

図 3. Facebook Black のページ

次にユーザーは、Google Chrome 拡張機能をインストールするよう誘導されます（図 4）。

図 4. Facebook Black の偽の Chrome 拡張機能

この拡張機能を使い、Amazon の Simple Storage Service（Amazon S3）にホストされている 2 つの JavaScript ファイルがダウンロードされます（図 5）。

図 5. 拡張機能によりさらにファイルがダウンロードされる

これらの JavaScript ファイルは、被害者のアカウントを通じて詐欺を拡散し続けるために使われます。そのために、被害者のアカウントに新しい Facebook ページを作成します。このページに、ユーザーを Facebook Black のランディングページへリダイレクトするページへの iframe が含まれています（図 6 と図 7）。

図 6. ユーザーアカウントに新しいページが追加される

図 7. 新しく作成された Facebook ページに iframe によるリダイレクトが含まれている（［Welcome］タブ）

最終的に、この Facebook 拡張機能をインストールしたユーザーには、一連のアンケート詐欺が表示され（図 8）、詐欺師はここから利益を得ようとしていることがわかります。

図 8. 拡張機能のインストール後に表示されるアンケート詐欺

シマンテック製品をお使いのお客様は、Web Attack: Fake Facebook Application 3 の IPS シグネチャでこの攻撃から保護されています。偽の Chrome 拡張機能は、Trojan Horse として検出されます。

Google は、Chrome 拡張機能のいくつかをすでに削除しており、悪質な拡張機能に対する自動検出をさらに改善するとしています。この詐欺に引っかかってしまったユーザーは、Chrome 拡張機能をアンインストールし、作成された Facebook ページを削除してください。

?????????????????????????

Hacker Medic March 21, 2013 No Comments

寄稿: Saurabh Farkade

ベネディクト 16 世の退位から新法王フランシスコの選出まで、バチカン市国はここ数週間、ニュースの見出しを飾り続けてきました。スパマーにとっても、便乗してマルウェアを拡散する絶好の機会です。

シマンテックセキュリティレスポンスで最近確認されているスパム拡散攻撃は、Blackhole 悪用ツールキットをホストしているサイトにユーザーを誘導しようとします。ただし、シマンテック製品をお使いであれば、この脅威は Blackhole Toolkit Website として検出されますのでご安心ください。

スパムメールは、送信元として知名度の高いニュースチャネルを騙っています。攻撃には、以下のような件名が使われています。

件名: Opinion: Can New-Pope Benedict be Sued for the Sex Abuse Cases? -（論説: 新法王ベネディクト、幼児への性的虐待で告訴か?）[削除済み]
件名: Opinion: New Pope, Vatican officials sued over alleged sexual abuse! -（論説: 新法王、性的虐待の疑惑で公式に告訴!）[削除済み]
件名: Opinion: New Pope Sued For Not Wearing Seat Belt In Popemobile… – （論説: 新法王、専用車両でのシートベルト非着用により起訴…）[削除済み]

電子メールで使われているドメインは、いずれも最近登録されたものです。電子メールに記載されたリンクをクリックすると、危殆化した Web サイトにリダイレクトされ、そのサイトにペイロードがホストされています。次の図は、今回使われている悪質なメールのスクリーンショットです。

大手通信社の知名度を悪用すると攻撃の成功率は高くなりますが、シマンテック製品をお使いのお客様は、このような脅威からも複数レベルの対策で保護されています。オンラインの脅威から身を守るために、大量送信されたニュースメールは開かないように、そしてセキュリティソフトウェアを最新の状態に保つようにしてください。

????????????????? Linux Wiper ????

Hacker Medic March 21, 2013 No Comments

韓国の銀行と放送局が受けたサイバー攻撃については、第一報を本日すでにお伝えしました。その後、Linux コンピュータを消去する機能を持つ追加のコンポーネントもこの攻撃に使われていることが確認されました。

図 1. リモートの Linux コンピュータを標的にする bash wiper スクリプト

Trojan.Jokra のドロッパーには、リモートの Linux コンピュータを消去するモジュールが含まれています。複数のオペレーティングシステムで動作するコンポーネントが確認されることは珍しく、今回のように Linux コンピュータを消去するコンポーネントが Windows マルウェアの内部に仕掛けられているのは異例のことです。このモジュールは Windows 7 と Windows XP のコンピュータで mRemote というアプリケーションを探します。mRemote は、複数のプロトコルに対応したオープンソースのリモート接続マネージャです。mRemote アプリケーションは、接続を保存する設定ファイルを以下のパスで管理しています。

%UserProfile%\Local Settings\Application Data\Felix_Deimel\mRemote\confCons.xml

図 2. mRemote のパス情報の解析

Trojan.Jokra のドロッパーはこの XML ファイルを解析し、ルート権限で SSH プロトコルを使う接続を探します。そして、その接続で使われているパラメータを抽出します。

図 3. mRemote 設定ファイルの接続情報の解析

続いてドロッパーは新しいスレッドを生成し、bash スクリプトを %Temp%\~pr1.tmp に投下します。そのうえで、mRemote の設定ファイルから解析した接続情報を利用して、リモートの Linux コンピュータ上で /tmp/cups として、この一時ファイルをアップロードし、実行します。

図 4. リモートコマンドの実行

この bash スクリプトは、任意の Linux ディストリビューションで動作するように設計された wiper の一種です。SunOS、AIX、HP-UX の各ディストリビューションで特定のコマンドを使って実行されます。消去されるのは、/kernel、/usr、/etc、/home の各ディレクトリです。

シマンテックはこの攻撃の調査を続けており、詳しいことが判明し次第、更新情報をお届けする予定です。

?????????????????????

Hacker Medic March 21, 2013 No Comments

韓国でいくつかの銀行と放送局がサイバー攻撃を受けたことが、メディアで報じられています。

同国の ISP/電気通信プロバイダのサイトが改ざんされたほか、多くの組織のサーバーが停止しました。

改ざんされたサイトには、手の込んだアニメーション付きの Web ページが表示されます。効果音が流れて 3 つのどくろが現れ、「Whois」集団を名乗る攻撃者の手によると称するメッセージも表示されます。

この攻撃はまず、多数の Web サイトで障害が出始めるという形で明るみに出ました。銀行の利用者がオンライン口座にアクセスできなくなり、他のサイトからも停止しているという報告が相次ぎました。現時点で具体的な詳細はわかっていませんが、攻撃を受けたサイトの多くはハードディスクを消去され、該当するコンピュータは機能不全に陥りました。

シマンテックは、疑わしいマルウェアを Trojan Horse/Trojan.Jokra、WS.Reputation.1 として検出します。

現在、詳しい解析を実行しているところですが、今の段階で、このマルウェアは以下の処理を実行することが確認されています。

ファイルマッピングオブジェクトを作成し、JO840112-CRAS8468-11150923-PCI8273V という名前で自身を参照する。
韓国のウイルス対策/セキュリティ製品ベンダーに関連する次の 2 つのプロセスを停止する。
- pasvc.exe
- clisvc.exe
ドライブをすべて列挙し、MBR とそこに保存されているデータを “PRINCPES” または “HASTATI.”（末尾にピリオドが付きます）という文字列で上書きする。これによって、ハードディスクの内容がすべて消去されます。
攻撃を受けたコンピュータに接続されている、またはマップされているドライブがあれば、そのドライブでも同様の消去処理を実行しようとする場合がある。
“shutdown -r -t 0” を実行して、コンピュータを強制的に再起動する。MBR とドライブの内容がなくなっているため、システムは使用不可になります。

ディスク消去処理の結果は、現地で報告されたどの主要なシステム停止も変わりません。ディスク消去は目新しい手口ではなく、2012 年 8 月のインシデントでも、中東の多くの組織が W32.Disttrack（Shamoon）という脅威に攻撃され、ハードディスク消去によって同種の被害を受けています。

現在、この攻撃の発信源や、攻撃者が感染先に侵入した方法についての手がかりはありません。攻撃者の真の動機も不明ですが、最近は朝鮮半島で政治的緊張が高まりつつあることから、今回の攻撃は不法な攻撃の一環であるか、民族主義的なハックティビストが悪用した結果と考えられます。

シマンテックは、手に入りしだい、さらに詳しい情報をお届けする予定です。

Remote Linux Wiper Found in South Korean Cyber Attack

Hacker Medic March 20, 2013 No Comments

Earlier today we published our initial findings about the attacks on South Korean banks and local broadcasting organizations. We have now discovered an additional component used in this attack that is capable of wiping Linux machines.

Figure …

TeamSpy: Backdoor to the Viewer

Hacker Medic March 20, 2013 No Comments

Today, the Laboratory of Cryptography and System Security (Crysys) at Budapest University of Technology and Economics, released their research around a targeted attack they have identified, named TeamSpy. Symantec has had protections in place for …

South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack

Hacker Medic March 20, 2013 No Comments

It has been reported in the media that several South Korean banks and local broadcasting organizations have been impacted by a cyber attack.

The attack included the defacement of a Korean ISP/telecoms provider and also the crippling of servers belonging to a number of organizations.

The defacement displays an elaborate animated Web page with sound effects, showing three skulls and included a message by the claimed attackers calling themselves the “Whois” team.

The attack was first noticed when a number of websites began to experience problems. Customers of banks could not access their online accounts and reports of other sites being down began to surface. While specific details are not known at this time, it has been reported that a number of sites affected had their hard drives wiped leaving the affected computers in a crippled state.

Symantec detects the suspected malware as Trojan Horse/Trojan.Jokra and WS.Reputation.1.

We are currently performing detailed analysis of it. At this time, we can confirm that the malware performs the following actions:

Creates a file mapping object to reference itself using the name: JO840112-CRAS8468-11150923-PCI8273V
Kills two processes relating to local antivirus/security product vendors:
- pasvc.exe
- clisvc.exe
Enumerates all drives and begins to overwrite MBR and any data stored on it by writing the either the string “PRINCPES” or “HASTATI”. This will wipe all contents of the hard disk.
The threat may also attempt to perform the same wiping actions on any drives attached or mapped to the compromised computer.
Forces the computer to reboot by executing “shutdown -r -t 0” which renders the system unusable as MBR and contents of the drive is now missing.

The results of the disk wiping actions are consistent with the major outages reported in that region. Disk wiping is not a new activity, in a separate incident in August 2012, a number of middle eastern organizations were hit by the W32.Disttrack (Shamoon) threat which caused a similar type of damage by wiping hard disks.

There are currently no indications of the source of this attack or how the attackers infiltrated the affected parties. The real motives of the attack are also unclear but in recent times there has been a ramping up of political tensions in the Korean peninsula and these attacks may be part of either a clandestine attack or the work of nationalistic hacktivists taking issues into their own hands.

Symantec will publish further information as it becomes available.

Blackhole Exploit Kit Takes Advantage of Cypriot Financial Crisis

Hacker Medic March 20, 2013 No Comments

In recent days, the European Union (EU) financial crisis has taken a dramatic turn. Cyprus, one of the EU’s smallest member states by population, announced plans to impose a one-off levy of up to 10 percent on ordinary bank deposits. Banks across the island state have been closed while the unprecedented measures are debated in the country’s parliament. Meanwhile, anxious bank account holders—ordinary people, not bond holders or investors in Cypriot banks—await news of what will happen to their savings.

The notorious Blackhole Exploit Kit, previously featured in several posts on this blog, has started exploiting the public concern about this situation by sending out emails claiming to be news stories related to the unfolding situation.

Figure 1. Blackhole Exploit Kit malicious email

The message claims to be from the British Broadcasting Corporation (BBC) news site’s article recommendation service. The sending address has been spoofed, as have certain BBC recommendation message headers.

These messages link to a landing page with the title “Cyprus Crysys [sic] – BBC” that pretends to actually be from the British Broadcasting Corporation. This page also states: “You will be redirected to news”.

Figure 2. Blackhole Exploit Kit’s fake BBC news landing page

The page actually redirects to a familiar Blackhole Exploit Kit page which attempts several exploits, targeting vulnerabilities in Adobe Flash Player, Adobe Acrobat Reader, and Java. After several seconds, a timer function is run which then redirects the user to the real BBC website.

Figure 3. Blackhole Exploit Kit’s obfuscated JavaScript targets vulnerabilities

As mentioned, Cyprus is one of the smallest member state in the EU, but the impact of events there have broader implications. Many people in Greece moved money to Cyprus during Greek’s recent financial and political instability, believing their money would be safer there. Cyprus is also a popular offshore center for Russian business.

The parliament in Cyprus has since rejected the proposed tax, and a prominent North American bank is now being used as social-engineering content for new Blackhole Exploit Kit emails—demonstrating how quickly malware authors can respond to current affairs.

Symantec.cloud has identified more than 50 compromised websites redirecting to this latest Blackhole Exploit Kit social-engineering attack.