Tag Archives: Security Response

Backdoor.Darkmoon ??????????????? G20 ????

      No Comments on Backdoor.Darkmoon ??????????????? G20 ????

今週ロシアのサンクトペテルブルクで開催が予定されている G20 サミットを目前にして、攻撃者はサミットの知名度を標的型攻撃に利用しています。

シマンテックが検出したある攻撃では、金融機関、金融サービス企業、政府機関、経済開発関連の組織など複数のグループを標的としています。
 

image1_11.png

図 1. G20 の代表から送信されたと騙る電子メール
 

この電子メールは、G20 代表に代わって送信されたと称しています。そのうえで、以下のような文面が続きます。
 

Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
(更新版のビルディングブロックを回覧していただき、大変ありがとうございます。英国のコメントは添付ファイルでご覧ください。それでは、サンクトペテルブルクでお会いできることを楽しみにしています。)
 

ここで言われている「ビルディングブロック」とは、開発、汚職防止、雇用に対処する一連のビルディングブロックに対する英国政府のフィードバックを議論している複数の文書のテーマです。
 

image2_6.png

図 2. 悪質な添付ファイル内のファイル
 

この電子メールに添付されているのは、RAR 形式のアーカイブファイルで、アーカイブファイルには 5 つのファイルが含まれています。そのうち 2 つは、ファイルタイプが偽装されており、実際には、文書ファイルの 1 つが実行可能ファイルであり、.msg ファイルが .lnk ファイルです。.lnk ファイルは、これまでにも攻撃に使われたことがあります(参照 1参照 2)。被害者が .msg ファイルを実行しようとすると、悪質な実行可能ファイルと、悪質ではない文書の 1 つが実行されます。アーカイブファイルに含まれている 5 つのファイルとその MD5 ハッシュ値は、以下のとおりです。
 

ファイル名

MD5 ハッシュ値

UKcomments.msg.lnk

7960F23DC79D75005C1C98D430FAC39B

UK_Building_block_TRADE.docx

53C60480254BCEB41660BD40AA12CECB

UK_Building_block_ANTICORRUPTION.doc

099A1C43677FD1286B380BCBF9BE90F4

UK – Building block_EMPLOYMENT – Aug.docx

05BC1C528E6CD49C9B311C25039FC700

UK – Building block_DEVELOPMENT – Aug.docx

C9F0DFAD687F5700325C4F8AEAEFC5F8

 

image3_6.png

図 3. 被害者に送信される悪質ではない文書
 

被害者には、悪質でない文書の内容が表示されます。これらの文書で注目に値するのは、いずれも変更履歴が有効になっており、元の電子メールで言及されていた、英国からのコメントが記入されていることです。現時点で、これらの文書の正当性は確認できませんが、シマンテックの調べによると変更は今月の初めに行われており、最終更新者は「UK Government(英国政府)」という名前のユーザーでした。
 

image4_2.png

図 4. 文書の作成者情報
 

バックグラウンドで実行される悪質な実行可能ファイルは、Poison Ivy として知られるものです。シマンテックは、この実行可能ファイルを Backdoor.Darkmoon として検出します。

Backdoor.Darkmoon は、悪名高いリモートアクセス型のトロイの木馬(RAT)のひとつで、過去数年間にさまざまな標的型攻撃に使われてきました。たとえば、シマンテックが 2011 年に報告した Nitro 攻撃でも使われています。

Backdoor.Darkmoon のこの亜種は、実行されると自身を winupdsvc.exe として %Windir% ディレクトリにコピーしたうえで、ポート番号 80、8080、443 で以下の URL に接続しようと試みます。

  • [http://]www.verizon.itemdb.com
  • [http://]www.verizon.dynssl.com
  • [http://]www.verizon.proxydns.com

今回の攻撃では Darkmoon が利用されていますが、同じグループによる攻撃で別の脅威が使われた例も確認しています。先月には、Java リモートアクセスツール(jRAT)を使う例を確認しており、シマンテックは Backdoor.Jeetrat および Backdoor.Opsiness として検出します。また。この脅威は Frutas RAT としても知られています。

セキュリティレスポンスは、他のグループも標的型攻撃に G20 サミットを利用していることを確認しており、今回のサミットが攻撃者にとっては絶好の素材になっていることが裏付けられています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

G20 Summit Used as Bait to Deliver Backdoor.Darkmoon

Ahead of tomorrow’s G20 summit in Saint Petersburg, Russia, attackers are leveraging the meeting’s visibility in targeted attacks.

One particular campaign we have identified is targeting multiple groups. They include financial institutions, financial services companies, government organizations, and organizations involved in economic development.
 

image1_11.png

Figure 1. Email purporting to be from G20 Representative
 

The email purports to be sent on behalf of a G20 representative. The email continues:
 

Many thanks for circulating these updated building blocks. Please find the UK comments on these attached. I look forward to seeing you in St Petersburg soon.
 

The ‘building blocks’ mentioned are the theme of multiple documents, which discuss the UK government’s feedback on a series of building blocks to address development, anti-corruption, and employment.
 

image2_6.png

Figure 2. File listing for malicious attachment
 

Attached to the email is a RAR archive file. The archive contains five files. Of the five files, two of them masquerade as different file types. One of the documents is actually an executable, while the .msg file is a .lnk file, which we have seen used in attacks before. If the victim tries to run the .msg file, it will run both the malicious executable and one of the non-malicious documents. The five files contained in the archive, and their MD5s, are as follows:
 

File name

MD5

UKcomments.msg.lnk

7960F23DC79D75005C1C98D430FAC39B

UK_Building_block_TRADE.docx

53C60480254BCEB41660BD40AA12CECB

UK_Building_block_ANTICORRUPTION.doc

099A1C43677FD1286B380BCBF9BE90F4

UK – Building block_EMPLOYMENT – Aug.docx

05BC1C528E6CD49C9B311C25039FC700

UK – Building block_DEVELOPMENT – Aug.docx

C9F0DFAD687F5700325C4F8AEAEFC5F8

 

image3_6.png

Figure 3. Non-malicious document presented to the victim
 

The victim will be shown a non-malicious document. What is interesting about these documents is that each of them has track changes enabled and contains the reported comments from the UK called out in the original e-mail. At this time, we cannot verify the authenticity of these documents, but from our observation, modifications were made to them earlier this month, which states that they were last modified by a user named “UK Government.”
 

image4_2.png

Figure 4. Author information from the document
 

The malicious executable that runs in the background is known as Poison Ivy. Symantec detects this executable as Backdoor.Darkmoon.

Backdoor.Darkmoon is a well-known remote access Trojan (RAT) that has been used in various targeted attack campaigns over the years, including The Nitro Attacks which we reported on in 2011.

When executed, this version of Backdoor.Darkmoon will copy itself to %Windir% as winupdsvc.exe. It will then attempt to connect to the following URLs on ports 80, 8080, or 443:

  • [http://]www.verizon.itemdb.com
  • [http://]www.verizon.dynssl.com
  • [http://]www.verizon.proxydns.com

While this particular campaign leverages Darkmoon, we have found other campaigns from the same group using different threats. Last month, we found them using Java remote access tools (jRAT) that we identify as Backdoor.Jeetrat and Backdoor.Opsiness, also known as Frutas RAT.

Security Response is aware of other groups using the G20 Summit as a theme in targeted attacks, which showcases how this particular meeting is ripe for attackers to use as bait.

???????????????????

      No Comments on ???????????????????

最近、標的型攻撃でマルウェアを企業に送りつける手段として、ショートカットファイルがよく使われるようになってきました。シマンテックは、ネットワークに侵入するためにショートカットファイルが使われるさまざまな手法を確認しており、その一例を以前のブログでもお伝えしました。最近も、セキュリティ製品による検出をすり抜け、電子メールの受信者を欺いて添付ファイルを実行させるためにショートカットファイルが使われている別の例が見つかっています。この亜種では、分割したマルウェアと、それを再結合するためのショートカットファイルを添付した電子メールが送信されます。

この攻撃に使われる電子メールには、ショートカットファイルを含むアーカイブファイルが添付されています。ショートカットにはフォルダのアイコンが使われていますが、それとは別に実際のフォルダもあり、そこに Microsoft 文書ファイルと、.dat 拡張子の付いた 2 つの隠しファイルが含まれています。

Fig1_3.png

図 1. 添付されているアーカイブファイルの内容

Fig2_1.png

図 2. Summit-Report1 フォルダの内容

エクスプローラをデフォルト設定で使っている一般的なユーザーであれば、アーカイブファイルには 2 つのフォルダだけが含まれているように見えるでしょう。2 つのフォルダのどちらかをクリックすると、文書ファイルを含むフォルダに移動しますが、実際にはショートカットファイルであるフォルダを開こうとすると、copy コマンドが実行され、2 つの .dat ファイルが結合されて 1 つの悪質なファイルが生成されます。こうしてコンピュータはマルウェアに感染してしまいます。添付されているアーカイブファイルの構造はさまざまですが、複数に分割されたファイルとショートカットファイルが含まれている点は変わりません。

Fig3_1.png

図 3. ショートカットファイルのプロパティに、.dat ファイルの結合に使われるスクリプトの一部が表示される

Fig4.png

図 4. ~$1.dat の中のバイナリデータ

Fig5.png

図 5. ~$2.dat の中のバイナリデータ

Fig6.png

図 6. 結合後の実行可能ファイルのバイナリデータ

攻撃の前にマルウェアを分割しておき、被害者のコンピュータ上で再結合するという手口が使われている理由は、いくつか考えられます。最大の理由は、悪質なファイルが検出されるのを防ぐためでしょう。ファイルがいくつかの部分に分割されていれば、セキュリティ製品が悪質なファイルと判定するのは困難だからです。さらに、ゲートウェイセキュリティ製品によって実行可能ファイルが削除されるのを防ぐという理由も考えられます。一般的なゲートウェイ製品には、ファイルタイプを基準にファイルをフィルタ処理する機能があります。電子メールに実行可能ファイルが添付されている場合にそれを削除するように設定できるので、IT 部門ではたいていそのようなフィルタ処理を実施しています。

ショートカットファイルはごく単純で、費用も掛かりません。脆弱性を利用する必要がないので、リソース負荷が高くなることもなく、被害者のコンピュータが脆弱になっている必要もありません。アイコンをフォルダや文書ファイルのように見せかけるのも簡単です。悪質なファイルを準備したら、後は 1 行スクリプトを作成するだけで攻撃態勢が整います。

このような手口の攻撃に備えるには、どうすればよいでしょうか。一般的な状況であれば、電子メールにショートカットファイルを添付する合理的な理由はありません。電子メールの添付ファイルとしてショートカットファイルは不要だと判断できれば、ネットワークのゲートウェイでフィルタ機能を使ってショートカットファイルを除外することを検討できます。

シマンテックは、このブログで説明したマルウェアを Trojan Horse として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Targeted Attacks Deliver Disassembled Malware

Shortcut files have recently become a common vehicle used in targeted attacks to deliver malware into organizations. Symantec has observed a variety of ways shortcut files are being used to penetrate networks, such as the one described in a previous bl…

??????????????????????

      No Comments on ??????????????????????

深刻化するシリアの情勢に対して国際社会が対応に苦慮するなか、詐欺師はまたしても、今最も話題になっているニュースを悪用して自分のスキルを誇示しています。同様の手口についてはこれまでにも、エジプトリビアの政情不安、ラグビーのワールドカップのときにお伝えしました。

最近シマンテックが確認した詐欺メッセージは、赤十字社から送信されたように偽装されていました。メッセージでは、情勢の悪化によってどれほど人道的な危機が差し迫っているかを説明し、赤十字社と赤新月社を支援するよう強く求めています。

SyriaScam.png

不思議なことに、電子メールには実際の英国赤十字社の Web サイトへのリンクがありますが、MoneyGram または Western Union の送金サービスを使って 500 英ポンド(約 76,000 円)を寄付するよう促しています。

英国赤十字社は現在、シリア危機の犠牲者のための寄付を募っていますが、これらの送信サービスは利用していません。

募金を考えている方は、必ず正規の Web サイトを通じて送金するようご注意ください。

このほか、シリア国内の人が送信したと騙る詐欺メールも確認されています。財産を守るため、あるいは事業を立ち上げるためと称して、資金を国外に持ち出す協力を請うという内容です。この手の詐欺は、送信者の膨大な財産から一部を分け前として提供すると約束し、事態の緊急性を訴えて即時の応答を求めています。ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????: ????????????????????

      No Comments on ??????????????: ????????????????????

francophone_comicstrip.png

2013 年 4 月、フランスに本拠を置く多国籍企業のバイスプレジデント秘書の元に 1 通のメールが届きました。メールには、大手のファイル共有サービスにアップロードされている請求書へのリンクがありました。数分後、同じ秘書に別のバイスプレジデントから電話がかかり、その請求書を調べて処理するよう指示がありました。バイスプレジデントは毅然とした口調で完璧なフランス語を話しましたが、実はこの請求書は偽物で、バイスプレジデントと名乗って電話をかけてきた人物が攻撃者でした。

請求書と言われたファイルの正体はリモートアクセス型のトロイの木馬(RAT)で、ウクライナにあるコマンド & コントロール(C&C)サーバーにアクセスするように設定されていました。攻撃者は RAT を使ってこの秘書のコンピュータに侵入し、キーストロークを記録する、デスクトップをのぞき見る、ファイルを参照して手に入れるといった直接制御に成功したことになります。

電子メールを送りつけた直後に流暢なフランス語で電話をかけるという今回の戦術はきわめて異例であり、ソーシャルエンジニアリングの先鋭化が見てとれます。シマンテックセキュリティレスポンスが、ヨーロッパの組織を標的にするこのタイプの攻撃について初めての例を詳しくお伝えしたのは、2013 年 5 月のことでした。その後の調べで、この攻撃の詳細な手口がわかってきました。動機は金銭の詐取で、攻撃は今もなお続いています。

 

大胆な手口

多くの企業と、その取引先である銀行は、不正な送金を防ぐための防御手段を講じています。しかし攻撃者は、その防御ラインをひとつひとつ打破するために、さらに大胆なソーシャルエンジニアリングの手口を繰り出すようになりました。たとえば、ある手口は以下のように実行されました。

  • 攻撃者はまず、RAT を使って企業内のシステムに侵入します。
  • システムが RAT に感染すると、攻撃者は企業の取引先銀行や通信プロバイダを特定できる情報(ディザスタリカバリ計画を含む)、プロバイダと銀行の担当者の連絡先やアカウントデータを取得します。
  • このデータを使うと攻撃者は企業の担当者に偽装することができ、契約先の通信プロバイダに電話します。攻撃者は通信プロバイダに身元を証明し、物理的な災害が発生したと説明して自社の電話番号をすべて転送するよう依頼しますが、その転送先は攻撃者の管理下にある電話です。
  • 電話番号の転送に続いてすぐ、攻撃者は企業の取引先銀行に FAX を送り、多数の海外口座への高額な電信送金をいくつも依頼します。
  • この取引が異常であることから、銀行の担当者は記録にある企業の番号に電話をかけ、取引を確認します。この電話も攻撃者に転送され、攻撃者は取引を承認します。
  • 複数の海外口座への電子送金が実行され、その資金は他の口座や金融機関を経てロンダリングされます。

別の例では、攻撃者は送金のために社内の専用システムを使う必要がありました。2 段階認証としてドングルが使われているためです。この攻撃の手順は以下のとおりです。

  • 攻撃者は、IT スタッフに偽装して被害者に電話をかけ、送金システムの一部でシステムメンテナンスが必要になったと連絡します。
  • このとき攻撃者は、顧客の個人情報保護を盾にとって、メンテナンスの実行中はコンピュータの画面をオフにしておく必要があると説明します。
  • モニターがオフになっている間に、攻撃者は被害者の持つ有効なアクセス権を使って社内システムを操作し、海外口座への高額な送金を実行します。

また別の例では、攻撃者はマルウェアをまったく使いませんでした。この攻撃の手順は以下のとおりです。

  • 攻撃者は行員の 1 人に偽装して実際の行員に電子メールを送信し、銀行のコンピュータシステムがアップグレードされると連絡します。このメールは申し分のないフランス語で書かれています。
  • 翌日、攻撃者は電子メールを送信した相手に電話をかけ、同じ銀行の同僚であると名乗ったうえで電信送金の「テスト」を依頼します。
  • 「テスト」と称された電信送金で、実際には海外口座に資金が送られてしまいます。

 

被害状況

攻撃に関する調査によると、被害を受けたのはフランスに拠点を置く数社の企業でした。攻撃者の目的は、企業の会計部門または同等の部門から海外口座に電信送金させることにありました。

Franco1.png

図 1. フランス語話者による金銭詐取攻撃の標的となった業種

ほとんどの場合、最初の被害者は企業内の秘書または会計士でした。最初の被害者が送金の権限を持たない場合、攻撃者はその被害者の資格情報を使って、会計部門の中で送金の権限を持つ従業員を探し出します。攻撃者は、さらに次のソーシャルエンジニアリング行為によって、個人のコンピュータに侵入を果たしていました。

 

移動しながらの攻撃

電子メールと C&C のトラフィックを調べたところ、攻撃者はイスラエルに拠点を置いている、またはイスラエルを経由して攻撃を行っていることが判明しました。しかし、発信元 IP アドレスがイスラエルにあるというのは普通ではありません。イスラエル国内通信会社の携帯電話加入者のネットブロック内にあるからです。そして、この攻撃が実際にはモバイルネットワークから発信されていること、しかも攻撃者が MiFi カードを使っているという重大な事実も、トラフィック解析で確認されました。

operation_of_C&C_server.png

図 2. フランス語話者による金銭詐取攻撃の C&C トラフィック

MiFi カードは、GSM セルラー無線機(GSM 電話と同等)であり、携帯電話ネットワークを通じてコンピュータシステムにインターネットアクセスすることができます。そのため、MiFi カード用の GSM SIM カードをバザーや個人販売で現金購入すれば、攻撃者は匿名性を確保できることになります。全世界の 3G プロバイダの多くは、プリペイド方式のデータ通信プランを用意しており、購入するとき身元証明が不要です。したがって、通信記録から個人を特定されることはありません。

さらに驚くべきことに、トラフィック解析からは、この攻撃者が攻撃を実行しながら常に移動していたことまで判明しています。このような防衛技術を利用されてしまうと、攻撃者の追跡はきわめて難しくなります。サイバー犯罪にこのような技術が使われるというのは、攻撃者が用いる手口がますます巧妙になっていることの表れです。移動中の MiFi カードを発見するには、特殊な機器を使う常駐の人物が待機する必要があり、通信プロバイダからも情報の援助を受けて MiFi カードの位置を検算しながら特定しなければなりません。

フランス語話者による金銭詐取は、サイバー犯罪者の活動がさらに高度になりつつあることを示す好例であり、この傾向は今後も続くと見込まれます。

今回の調査にご協力くださった Computer Emergency Response Team of Ukraine(CERT-UA)に感謝の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Cynical Spammers Exploit Deepening Syria Crisis

As the international community coordinates its response to the deepening crisis in Syria, scammers have once again demonstrated their skill at using current, high-profile events to their advantage. We have previously covered these methods in regards to Egypt, Libya, and the Rugby World Cup.

We recently identified a scam message that claimed to be from The Red Cross. The message explains how the conflict is creating a humanitarian crisis and urges people to support The Red Cross and The Red Crescent.

SyriaScam.png

Curiously, the email includes a link to the actual British Red Cross website, but urges that donations over £500 GBP ($775 USD) be sent through MoneyGram or Western Union money transfer services.

The British Red Cross does currently have an appeal for donations for victims of the conflict in Syria but it does not use these payment services.

Anyone considering supporting charities should be cautious and make sure that they are using the charity’s official website.

We have also seen other scams claiming to be from people in Syria, looking for help in moving money out of the country, ostensibly to protect their wealth or to start up a business. These scams promise a share of the sender’s vast fortune and use the seriousness of the situation to try to solicit a prompt reply. Remember, if an offer sounds too good to be true, it usually is.

Francophoned – A Sophisticated Social Engineering Attack

In April 2013, the administrative assistant to a vice president at a French-based multinational company received an email referencing an invoice hosted on a popular file sharing service. A few minutes later, the same administrative assistant received …

Changeup ??????

      No Comments on Changeup ??????

シマンテックは長い間、W32.Changeup シリーズのワームに対する取り組みを続けており、このブログでも今までに何度となくお伝えしてきました(参照 1参照 2)。
 

image1_10.png

図 1. W32.Changeup.C の発生状況
 

W32.Changeup は Microsoft Visual Basic 6.0 で記述されており、そのプログラムコードのうち感染機能を担う部分が、不明瞭化されてはいるものの、プログラムファイル中で見えているという特徴があります。ところが、W32.Changeup の歴史で初めて、ファイルのプログラムコード中で感染機能の部分が見えない新しい亜種が発見されました。

プログラムファイルはネイティブコード(Intel X86 のコード)で作成されており、起動オブジェクトは ‘Form605’ に設定されています。
 

image2_5.png

図 2. X86 命令で書かれたプログラムファイルの起動コードが見える
 

このコードを実行すると、一度プログラムが実行されたメモリは完全に上書きされます。
 

image3_5.png

図 3. プログラム中の起動コードがメモリに
 

置き換えられるプログラムも Visual Basic 6.0 で作成されていますが、これは P コード(擬似コード)で作成されており、起動オブジェクトは ‘Sub Main’ です。

メモリ上のプログラムは純粋な W32.Changeup であり、不明瞭化されていません。接続先のドメイン名を除いて文字列はまったく暗号化されておらず、冗長な文字列連結もありません。
 

image4_1.png

図 4. ベア文字列がグローバル変数文字列 Me(204) と Me(860) にコピーされる
 

この例でグローバル変数にコピーされるのは、’connect’ と ‘CreateToolhelp32Snapshot’ というベア文字列です。このような純粋な形の W32.Changeup は、長らくお目に掛かっていません。作成者は、プログラムファイルで見えなくなるので、もう文字列を隠す必要もないと考えたようです。もちろん、冗長な文字列結合や無意味な API 呼び出しなど、他の不明瞭化方法もメモリ上では必要ありません。

W32.Changeup は以前と同じように機能しますが、ポリモーフィズムに関しては例外です。1 つ前の世代の W32.Changeup は強力なポリモーフィズムの機能を備えていました。ダミーのフォーム名などとして使われる 3 つのランダムな文字列を置き換え、プログラムファイル中では新しいランダムな文字列で出現するため、複数の相違がある新しいファイルが生成されていました。たとえば、Visual Basic のフォームとモジュールを作成するそのような文字列がどこに置かれていても、この置き換えはファイルに影響します。ウイルス定義でこのような可変文字列を網羅したとしても、サンプルから派生した亜種を検出することはできません。セキュリティの専門家がポリモーフィックワームに特に注目してきたのも、これが理由です。

最新版の W32.Changeup は、この強力なポリモーフィズム機能を捨て去っています。自身をコピーするときに、文書ファイルや画像、動画に偽装するために、プログラムファイルの resource セクションでアイコンを変更するだけです。
 

image5_2.png

図 5. W32.Changeup が偽装のために使うアイコン(低画質である点に注意)
 

シマンテックは、これらのファイルを W32.Changeup!gen44 として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。