????????????? Duuzer??????????????????
Backdoor.Duuzer は、コンピュータを完全に制御しようとして韓国の組織を狙っています。以前から韓国を標的にしている W32.Brambul および Backdoor.Joanap との関係も判明しました。
Read More
Backdoor.Duuzer は、コンピュータを完全に制御しようとして韓国の組織を狙っています。以前から韓国を標的にしている W32.Brambul および Backdoor.Joanap との関係も判明しました。
Read More
Backdoor.Duuzer targets South Korean organizations to gain full control of computers. The threat is linked to W32.Brambul and Backdoor.Joanap, which have also been affecting the region.Read More
Backdoor.Duuzer가 한국의 기업 및 기관을 표적으로 시스템을 완전히 장악하려 시도하고 있습니다. 이 보안 위협 역시 한국에 유포된 W32.Brambul 및 Backdoor.Joanap과 연관성이 있습니다.
Read More
攻撃者は、韓国を中心として広がっている中東呼吸器症候群(MERS)の流行を悪用し、スパムメールを通じて Trojan.Swort を拡散しています。
Read More
中東呼吸症候群(MERS)在韓國和其他地區爆發,網路攻擊者通過垃圾郵件傳播Trojan.Swort木馬病毒
Read More
中东呼吸综合征(MERS)在韩国和其他地区爆发,网络攻击者通过垃圾邮件传播Trojan.Swort木马病毒
Read More
Attackers are taking advantage of the outbreak of Middle East Respiratory Syndrome (MERS) in South Korea and other regions to spread Trojan.Swort through spam emails.Read More
韓国では最近、ゼロデイ脆弱性を悪用するサイバー攻撃、オンラインバンキングを狙うトロイの木馬、ゲームを狙うトロイの木馬、バックドア、そして同国を狙った分散サービス拒否(DDoS)攻撃といった報道が相次ぎ、メディアの注目を集め続けています。シマンテックは、Downloader.Tandfuy を中心としてこれらの要素をすべて取り込んだ最新の攻撃活動を確認しました。
「韓国と日本を対象とする標的型攻撃で悪用された Internet Explorer の新しいゼロデイ脆弱性」と題した最近のブログでも、「Microsoft Internet Explorer のメモリ破損の脆弱性」(CVE-2013-3897)を悪用した、韓国を狙う攻撃についてお伝えしました。シマンテックがこの攻撃について調査した結果、攻撃者は韓国に対する一連の攻撃で、以前は別の悪用コードを使っていたことが判明しています。また、この攻撃が 2013 年 9 月始めから韓国を標的として続いている攻撃活動の一部であることも明らかになっています。これら一連の攻撃では、何種類もの悪質コードが多数使われており、Downloader.Tandfuy を皮切りに、Trojan.Sequendrop、Backdoor.Ghostnet、Trojan.Chost、および Infostealer.Gampass が続けざまにダウンロードされます。
図. 韓国を狙った Tandfuy サイバー攻撃の図解
ブログサイトにアクセスすると悪質な処理が引き起こされる
最新の攻撃は、被害者が韓国で人気のあるブログサイトにアクセスすることから始まります。このサイトには、ゼロデイ脆弱性 CVE-2013-3897 の悪用コードが仕掛けられており、訪問者のコンピュータで韓国語または日本語が使われているかどうかをチェックする追加のコードも存在します。どちらの言語も見つからなければ攻撃はそこで終了しますが、標的となる言語が見つかった場合には悪用コードが実行され、Downloader.Tandfuy のダウンロードで攻撃が始まります。Downloader.Tandfuy が韓国で拡散したのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2013-1347)が最近悪用された結果であることが確認されています。どちらの場合も、Downloader.Tandfuy は、続いて Trojan.Sequendrop をダウンロードし、それが Backdoor.Ghostnet、Trojan.Chost、または Infostealer.Gampass で構成される別の脅威を投下します。
Backdoor.Ghostnet は広く知られている脅威で、このブログでも 2009 年に 「Ghostnet Toolset-Back Door at the Click of a Button」(英語)というブログで説明しことがあります。この脅威は過去にスパイ活動に関連して使われたこともありますが、Gh0st RAT として知られるこのリモートアクセス型のトロイの木馬(RAT)は、今では誰でも自由にインターネットからダウンロードして入手することができます。
Trojan.Chost は侵入先のコンピュータ上でホストファイルを改ざんし、Web サイトに対する DNS 要求を別のサイトにリダイレクトします。今回の場合、ホストファイルは、韓国のいくつかのオンラインバンキングサイトを攻撃者のサイト(IP アドレス 174.139.5.34 または 98.126.76.109)にリダイレクトするように改ざんされます。解析時点では、韓国のオンラインバンキングサイトから攻撃者のサイトにリダイレクトされた後で実行される処理の内容は特定できませんでした。Web サイトをリダイレクトさせようとする攻撃者の動機は、オンラインバンキングのログイン情報を狙って何らかのフィッシング攻撃を実行することだと考えられます。
Trojan.Sequendrop によって投下される最後の脅威は Infostealer.Gampass で、これはその名前が示すとおり、オンラインゲームのログイン情報を盗み出す目的で使われます。興味深いのは、先日いくつかのメディアサイトで、韓国で 16 個の Web サイトが DDoS 攻撃を受けたという報道があったことです。今回の攻撃のうち、ちょうどその報道と同時期に検出された Infostealer.Gampass の最新サンプルを解析したところ、Infostealer.Gampass は、DDoS 攻撃が報じられた 16 個の Web サイトに定期的にアクセスすることが判明したのです。Infostealer.Gampass は、djdjdava.jpg という名前のファイルをダウンロードするために、これら 16 個の Web サイトにアクセスしていました。djdjdava.jpg は、画像ファイルに偽装していますが実際には実行可能ファイルであり、Downloader.Tandfuy または Infostealer.Gampass の更新版であると見られています。さらに、アクセスしていたサイトの大半はおとりサイトであり、ファイルがホストされていなかったことも判明しています。Infostealer.Gampass によるこの活動は、報道されている DDoS 攻撃に関連すると思われ、Web サイトに対する DDoS 攻撃と誤って解釈された可能性もあります。
狙いは韓国に集中
シマンテックの遠隔測定では、この攻撃に関連する活動が依然として確認されていますが、現時点でメインのコマンド & コントロールサーバーは応答していません。さらに、この攻撃はまるでレーザー照準のように韓国に集中しています。攻撃の 99% は韓国から報告されており、他の地域から報告があったのは偶発的なものにすぎないからです。
これと同様の攻撃でゼロデイ脆弱性が悪用された前例はほとんどなく、今回の攻撃者が一定の高度な技術力を備えていることがうかがえます。この攻撃活動では何種類かのマルウェアが使われており、攻撃者の明確な目的はまだわかりませんが、動機は金銭の詐取にあると思われます。韓国に対するサイバー攻撃が起きると、メディアでは、とかく国家支援による何らかの攻撃ではないかと憶測されがちですが、今回確認された活動から判断する限り、この攻撃はサイバー犯罪であると考えたほうがよさそうです。
シマンテックは、この攻撃に関連する活動の監視を続けています。脅威から保護するために、最新のソフトウェアパッチを適用してシステムを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、コンシューマ向けのノートン製品や、エンタープライズ向けソリューションのそれぞれ最新版を導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
South Korea has not been too far from media attention lately, with reports of cyberattacks involving zero-day vulnerabilities, banking Trojans, gaming Trojans, back doors and distributed denial-of-service (DDoS) attacks targeting the nation. Symantec h…
悪質なゲームをダウンロードさせる手口は特に目新しいものではありませんが、マルウェアの作成者はいよいよオンラインゲームユーザーを標的にしようという野望を露わにしています。ゲームを狙うトロイの木馬が、ゲームのログイン情報に加えてユーザーの銀行口座も狙うようになってきています。
Infostealer.Gampass などの脅威が、何年も前からオンラインゲームユーザーのログイン情報やデータを盗み出してユーザーを悩ませてきましたが、登場してからまだ比較的日の浅い Trojan.Grolker も、新しい攻撃経路を使っています。
シマンテックは Trojan.Grolker の活動を 2012 年中頃から確認しています。感染の大部分は韓国で確認されており、それより規模は小さいながらハンガリーでの感染も見られます。攻撃者が韓国を標的にしているのは、韓国でオンラインゲーム人気が高いためです。
図 1. Trojan.Grolker の標的となっている国
今月までは、Trojan.Grolker もゲームを狙う典型的なトロイの木馬だったようで、盗み出すゲーム関連の情報は先行するマルウェアと同様のものでした。古い Grolker サンプルのコードを分析したところ、ブラウザの URL を Grolker の狙うゲームサイトの URL と比較していたことがわかります。それが対象の URL であった場合、Grolker は悪質な JavaScript を Web ページにインジェクトしていました。
図 2. 古い Trojan.Grolker の URL チェック
Grolker の新しいサンプルも以前と同じコードを使って、ブラウザに読み込まれた URL を韓国のオンラインバンキングサイトの URL と比較します。
図 3. オンラインバンキングサイトの URL を検索する新しい Trojan.Grolker
Grolker は、以前のサンプルと同様に、攻撃者が狙う URL を含むページに悪質な JavaScript をインジェクトします。韓国ではあらゆるオンラインバンキングサイトが標的となっているため、韓国のユーザーは大きく被害を受けています。
図 4. Grolker がオンラインバンキングサイトに悪質な JavaScript をインジェクト
正常な Web ページにインジェクトされる悪質な JavaScript は、トロイの木馬のバイナリファイルにハードコード化されています。Grolker は別個の設定ファイルを使わないので、その点がオンラインバンキングを狙う他のトロイの木馬(Trojan.Zbot など)とは異なるところです。
Grolker はブラウザヘルパーオブジェクト(BHO)を使って、コンポーネントを Internet Explorer のプロセスにロードします。オンラインバンキングを狙う他のトロイの木馬はコンポーネントをブラウザのプロセスに直接インジェクトし、ネットワーク機能をフックして Web トラフィックを傍受するのが一般的であり、これも Grolker が他のトロイの木馬と異なる点です。このように、Trojan.Grolker はオンラインバンキングを狙うトロイの木馬よりも、ゲームを狙う従来型のトロイの木馬に似ています。
Trojan.Grolker の攻撃から保護するために、最新のコンシューマ向けのノートン製品やシマンテックのエンタープライズ向けソリューションを使用することをお勧めします。シマンテックは、この脅威を Trojan.Grolker として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。