Tag Archives: targeted attack

European automobile businesses fall prey to Carbon Grabber

Cybercriminals target automotive companies in the UK, the Netherlands, Germany, and Italy with Infostealer.Retgate.
Read more…

?????????????????????? njRAT

      No Comments on ?????????????????????? njRAT

シマンテックは、中東で発生した攻撃者グループが、njRAT として知られるシンプルなマルウェアを使いながら勢いを伸ばしていることを確認しています。njRAT は、他の多くのリモートアクセスツール(RAT)と似た機能も備えていますが、アラビア語の話者によって開発、サポートされているという点が特徴的で、結果としてアラビア語圏の攻撃者の間で人気を集めています。

njRAT を使うと、コンピュータのネットワークをいわゆるボットネットとして制御できるようになります。njRAT を使う攻撃者のほとんどが関与しているのは通常のサイバー犯罪活動のようですが、一部のグループが njRAT を使って中東地域の政府を標的としている証拠も見つかっています。

シマンテックは njRAT の 721 個のサンプルを解析し、きわめて多くの感染を確認しました。コマンド & コントロール(C&C)サーバーのドメインは 542 に及び、世界中で 24,000 台のコンピュータが感染していることがわかりました。C&C サーバーの 80% 近くは中東や北アフリカで見つかっており、サウジアラビア、イラク、チュニジア、エジプト、アルジェリア、モロッコ、パレスチナ地域、リビアなどで確認されています。

figure1_18.png
図 1. njRAT が使う C&C サーバーの大多数は中東や北アフリカで発見されている

C&C サーバーの IP アドレスをたどると、その大部分が ADSL 回線であることから、このマルウェアを使っているのは、そのほとんどが中東地域のホームユーザーであると思われます。

njRAT は、サイバー犯罪の世界で新顔ではありません。公開されたのは 2013 年 6 月で、これまでに 3 バージョンがリリースされています。そのすべてが、感染した USB メモリやネットワークに接続されたドライブから拡散します。

njRAT の基本的な機能は、多くの RAT と同じです。別のマルウェアをダウンロードして実行する、シェルコマンドを実行する、レジストリキーを読み書きする、スクリーンショットを取得する、キーストロークを記録する、Web カメラでのぞき見をするといった機能を備えています。

中東のホームユーザーに対するオンラインサポートが万全
njRAT が中東と北アフリカで人気を集めている最大の理由は、大規模なオンラインコミュニティの存在で、マルウェアの開発に関する手順やチュートリアルといった形でサポートが行われています。njRAT を作成したのはクウェートに住む個人ユーザーと目されており、作成者自身も同地域からこのコミュニティに参加しているようです。Twitter では @njq8 というアカウント名を使っており、njRAT の新しいバージョンがダウンロード可能になると、そのアカウントから更新情報を発信しています。

figure2_17.png
図 2. njRAT の作成者の Twitter アカウント。バージョン 0.7 がダウンロード可能になったことを告知している

シマンテックは、この作成者の WordPress ベースの Web ページも突き止めています。このページは Blogspot の別の Web ページにリダイレクトされており、リダイレクト先には、次の図のように訪問者の統計が表示されます。これを見ても、大多数がサウジアラビアからこのブログにアクセスしていることがわかります。

figure3_10.png
図 3. @njq8 が Blogspot の Web ページで公開している訪問者統計

njRAT の使い方については、技術サポートもチュートリアルも広く Web に出回っています。シマンテックは、アラビア語で製作されたチュートリアルの動画も数多く発見しました。これらの動画では、ダウンロードと設定のプロセスがステップバイステップで解説されており、C&C サーバーに対する動的 DNS の名前付けといった手順も含まれています。ここまで徹底したサポートのおかげで、この地域の攻撃者は njRAT 用のツールやサーバーコンポーネントを簡単に作成できるようになっているのです。

figure4_8.png
図 4. njRAT の作成方法を説明するチュートリアル動画の説明がハッキンググループ MaDLeeTs の Web サイトに掲載されている

figure5_6.png
図 5. Anonymous Iraq の YouTube チャネルにある最新 3 件のチュートリアル。njRAT を不明瞭化してウイルス対策ソフトウェアを回避する方法を説明している

njRAT を使って標的型攻撃を仕掛けるハッカーグループ
njRAT を使う攻撃者のほとんどはホームユーザーであり、Web カメラでのぞき見をしたり、被害者のコンピュータでスクリーンショットを取得したりといった、いわばオンラインのいたずらに興味を持っている存在にすぎません。しかし、多数の政府機関や政治活動家のネットワークで感染が記録されているのも事実です。

シマンテックが確認したところ、njRAT を使って攻撃を仕掛けているのは 487 グループにも及びます。攻撃の動機はさまざまですが、大まかに言うとハックティビズム、情報の窃盗、ボットネットの構築に分けることができます。

そうしたグループのひとつが「.K.Y.P.E/Tagged」というグループで、エジプトとアルジェリアに置かれた C&C サーバーを使っています。このグループの感染経路は、ファイル共有サイト ge.tt にホストされているスクリーンセーバーです。被害者が、このスクリーンセーバーを含む .rar 圧縮ファイルをダウンロードすると、njRAT の含まれている実行可能ファイルもダウンロードされてしまいます。

figure6_1.png
図 6. S.K.Y.P.E/Tagged グループが作成した感染スクリーンセーバーが、ファイル共有サイト ge.tt に置かれている

ge.tt にホストされている感染ファイルのタイムスタンプが 2012 年 11 月 20 日である点も注目に値します。njRAT が一般に利用できるようになったのは 2013 年 6 月ですが、njRAT はそれよりも前に作成されていた可能性があるからです。一般公開に先立って、非公開の Web フォーラムのような少人数のグループ間で配布されていたのかもしれません。

シマンテックは、この njRAT が ge.tt にアップロードされたタイミングを中心に感染件数が急増したことも確認しています。S.K.Y.P.E/Tagged グループが使っている C&C サーバーは、njratmoony.no-ip.biz と njr.no-ip.biz の 2 つですが、その 2 つのサーバーのサーバーと通信している、新たに感染したコンピュータの数が 2012 年 10 月と 11 月に急激に増加しています。

figure7_1.png
図 7. S.K.Y.P.E/Tagged グループの C&C サーバー(njratmoony.no-ip.biz と njr.no-ip.biz)と通信しているコンピュータの 1 日当たりの感染件数

njRAT はサイバー犯罪コミュニティ拡大の兆候
中東では相当数の攻撃者が、その使いやすさから njRAT を使い続けているため、マルウェアを不明瞭化してウイルス対策ソフトウェアによる検出をすり抜けようとする新しい試みが今後も続くものと予測されます。アラビア語圏のコミュニティと同地域に居住する作成者がサポートを続けるかぎり、njRAT は今後も使い続けられるでしょう。

短期的には、ハッカーグループのようにもっと高度な攻撃者が、標的型攻撃に njRAT を使い続ける可能性があります。たとえば、電子フロンティア財団(EFF)と Citizen Lab によるレポートで明らかにされたように、シリア紛争で反体制派グループを狙って悪用された数多くのツールの中に njRAT も含まれていました。しかし、こうしたグループは最終的に、njRAT のように誰でも利用可能なツールからは遠ざかり、サイバー攻撃のために独自のツールや、より高度な RAT の開発を開始するとシマンテックは見込んでいます。

シマンテックは、この脅威を Backdoor.Ratenjay として検出します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Simple njRAT Fuels Nascent Middle East Cybercrime Scene

Symantec has observed the growth of indigenous groups of attackers in the Middle East, centered around a simple piece of malware known as njRAT. While njRAT is similar in capability to many other remote access tools (RATs), what is interesting about this malware is that it is developed and supported by Arabic speakers, resulting in its popularity among attackers in the region.

The malware can be used to control networks of computers, known as botnets. While most attackers using njRAT appear to be engaged in ordinary cybercriminal activity, there is also evidence that several groups have used the malware to target governments in the region.

Symantec analyzed 721 samples of njRAT and uncovered a fairly large number of infections, with 542 control-and-command (C&C) server domain names found and 24,000 infected computers worldwide. Nearly 80 percent of the C&C servers were located in regions in the Middle East and North Africa, including Saudi Arabia, Iraq, Tunisia, Egypt, Algeria, Morocco, the Palestinian Territories and Libya. 

figure1_18.png
Figure 1. Majority of njRAT C&C servers are found in the Middle East and North Africa

The majority of the C&C server IP addresses were traced to ADSL lines, which indicates that most attackers using the malware could be home users in the Middle Eastern region.

njRAT is not new on the cybercrime scene. It has been publicly available since June 2013 and three versions have already been released, all of which can be propagated through infected USB keys or networked drives.

The malware has the basic features common in most RATs. It can download and execute additional malware; execute shell commands; read and write registry keys; capture screenshots; log keystrokes; and snoop on webcams.

Strong online support for Middle East home users
The main reason for njRAT’s popularity in the Middle East and North Africa is a large online community providing support in the form of instructions and tutorials for the malware’s development. The malware’s author also appears to hail from the region. njRAT appears to have been written by a Kuwait-based individual who uses the Twitter handle @njq8. The account has been used to provide updates on when new versions of the malware are available to download.

figure2_16.png
Figure 2. The creator of njRAT announcing in a tweet that version 0.7 of njRAT is available to download.

Symantec has also located the malware author’s WordPress webpage, which redirects to another Blogspot webpage. The latter displays visitor statistics, indicating that majority of the blog’s visitors come from Saudi Arabia as shown below:

figure3_10.png
Figure 3. The visitor statistics of @njq8’s Blogspot Web page

Technical support and tutorials on using njRAT are widely available on the Web. Symantec has found numerous video tutorials in the Arabic language containing step-by-step processes for downloading and setting up the malware, including steps such as dynamic DNS naming for C&C servers. This level of support enables attackers in the region to easily to build tools and server components for njRAT.

figure4_8.png
Figure 4. Description of a video tutorial of how to build an njRAT on hacking group MaDLeeTs’s website

figure5_6.png
Figure 5. The latest three tutorials on Anonymous Iraq’s YouTube channel are on obfuscating njRAT to evade antivirus software

Hacker groups launch targeted attacks with njRATs
Most njRAT users seem to be home users who are interested in online pranks such as spying on webcams or taking screenshots of victims’ computers. However, infections have also been recorded on the networks of a number of governments and political activists.

Symantec has identified 487 groups of attackers mounting attacks using njRAT. These attacks appear to have different motivations, which can be broadly classed as hacktivism, information theft, and botnet building.

One such group is the S.K.Y.P.E/Tagged group, which has C&C servers hosted in Egypt and Algeria. The group’s vector for infection is a screensaver hosted on the file sharing site ge.tt. When victims download the compressed .rar file containing the screensaver, they get an executable containing njRAT.

figure6_1.png
Figure 6. The infected screensaver created by the S.K.Y.P.E/Tagged group on the ge.tt file sharing site

It is also interesting to note that the infected file hosted on ge.tt was dated November 20, 2012, because njRAT only became publicly available in June 2013. It would appear that njRAT had already been created prior to that date and it is likely that the malware was disseminated among small groups of people, such as on a closed Web forum, prior to its public release.

Symantec has also observed that infection numbers spiked around the time this copy of njRAT was uploaded on ge.tt. The S.K.Y.P.E/Tagged group uses two C&C servers: njratmoony.no-ip.biz and njr.no-ip.biz. The number of newly infected computers reporting to both servers spiked in October and November of 2012.

figure7_1.png
Figure 7. The daily infection rate of computers reporting to the S.K.Y.P.E/Tagged group’s C&C servers, njratmoony.no-ip.biz and njr.no-ip.biz

njRAT signals growing cybercrime community
As large numbers of Middle Eastern attackers continue to use njRAT due to its accessibility, Symantec expects that they will try to find new ways of obfuscating the malware to evade detection by antivirus software. They are likely to continue to use njRAT since an Arabic speaking community and its Arabic author continue to provide support for the malware.

The more advanced threat actors, such as hacker groups, may continue to use njRAT for targeted attacks in the short term. For example, a report by the Electronic Frontier Foundation (EFF) and Citizen Lab found that njRAT is one of a number of tools being used to target Syrian opposition groups during the Syrian conflict. However, Symantec anticipates that such groups will eventually depart from using publicly-available tools like njRAT and begin to develop their own tools and more advanced RATs for cyberattacks.

Symantec detects this threat as Backdoor.Ratenjay.

Product Coverage and Mitigation for CVE-2013-3893

      No Comments on Product Coverage and Mitigation for CVE-2013-3893

Microsoft Security Advisory (2887505) On September 17th, 2013, Microsoft published Security Advisory 2887505, which coverers a remote code execution vulnerability in all supported versions of Microsoft Internet Explorer.   The flaw resides in the handling of objects in memory which have been deleted or improperly allocated.  Specifically, a use-after-free flaw in the HTML rendering engine (aka Read more…

??????????????: ????????????????????

      No Comments on ??????????????: ????????????????????

francophone_comicstrip.png

2013 年 4 月、フランスに本拠を置く多国籍企業のバイスプレジデント秘書の元に 1 通のメールが届きました。メールには、大手のファイル共有サービスにアップロードされている請求書へのリンクがありました。数分後、同じ秘書に別のバイスプレジデントから電話がかかり、その請求書を調べて処理するよう指示がありました。バイスプレジデントは毅然とした口調で完璧なフランス語を話しましたが、実はこの請求書は偽物で、バイスプレジデントと名乗って電話をかけてきた人物が攻撃者でした。

請求書と言われたファイルの正体はリモートアクセス型のトロイの木馬(RAT)で、ウクライナにあるコマンド & コントロール(C&C)サーバーにアクセスするように設定されていました。攻撃者は RAT を使ってこの秘書のコンピュータに侵入し、キーストロークを記録する、デスクトップをのぞき見る、ファイルを参照して手に入れるといった直接制御に成功したことになります。

電子メールを送りつけた直後に流暢なフランス語で電話をかけるという今回の戦術はきわめて異例であり、ソーシャルエンジニアリングの先鋭化が見てとれます。シマンテックセキュリティレスポンスが、ヨーロッパの組織を標的にするこのタイプの攻撃について初めての例を詳しくお伝えしたのは、2013 年 5 月のことでした。その後の調べで、この攻撃の詳細な手口がわかってきました。動機は金銭の詐取で、攻撃は今もなお続いています。

 

大胆な手口

多くの企業と、その取引先である銀行は、不正な送金を防ぐための防御手段を講じています。しかし攻撃者は、その防御ラインをひとつひとつ打破するために、さらに大胆なソーシャルエンジニアリングの手口を繰り出すようになりました。たとえば、ある手口は以下のように実行されました。

  • 攻撃者はまず、RAT を使って企業内のシステムに侵入します。
  • システムが RAT に感染すると、攻撃者は企業の取引先銀行や通信プロバイダを特定できる情報(ディザスタリカバリ計画を含む)、プロバイダと銀行の担当者の連絡先やアカウントデータを取得します。
  • このデータを使うと攻撃者は企業の担当者に偽装することができ、契約先の通信プロバイダに電話します。攻撃者は通信プロバイダに身元を証明し、物理的な災害が発生したと説明して自社の電話番号をすべて転送するよう依頼しますが、その転送先は攻撃者の管理下にある電話です。
  • 電話番号の転送に続いてすぐ、攻撃者は企業の取引先銀行に FAX を送り、多数の海外口座への高額な電信送金をいくつも依頼します。
  • この取引が異常であることから、銀行の担当者は記録にある企業の番号に電話をかけ、取引を確認します。この電話も攻撃者に転送され、攻撃者は取引を承認します。
  • 複数の海外口座への電子送金が実行され、その資金は他の口座や金融機関を経てロンダリングされます。

別の例では、攻撃者は送金のために社内の専用システムを使う必要がありました。2 段階認証としてドングルが使われているためです。この攻撃の手順は以下のとおりです。

  • 攻撃者は、IT スタッフに偽装して被害者に電話をかけ、送金システムの一部でシステムメンテナンスが必要になったと連絡します。
  • このとき攻撃者は、顧客の個人情報保護を盾にとって、メンテナンスの実行中はコンピュータの画面をオフにしておく必要があると説明します。
  • モニターがオフになっている間に、攻撃者は被害者の持つ有効なアクセス権を使って社内システムを操作し、海外口座への高額な送金を実行します。

また別の例では、攻撃者はマルウェアをまったく使いませんでした。この攻撃の手順は以下のとおりです。

  • 攻撃者は行員の 1 人に偽装して実際の行員に電子メールを送信し、銀行のコンピュータシステムがアップグレードされると連絡します。このメールは申し分のないフランス語で書かれています。
  • 翌日、攻撃者は電子メールを送信した相手に電話をかけ、同じ銀行の同僚であると名乗ったうえで電信送金の「テスト」を依頼します。
  • 「テスト」と称された電信送金で、実際には海外口座に資金が送られてしまいます。

 

被害状況

攻撃に関する調査によると、被害を受けたのはフランスに拠点を置く数社の企業でした。攻撃者の目的は、企業の会計部門または同等の部門から海外口座に電信送金させることにありました。

Franco1.png

図 1. フランス語話者による金銭詐取攻撃の標的となった業種

ほとんどの場合、最初の被害者は企業内の秘書または会計士でした。最初の被害者が送金の権限を持たない場合、攻撃者はその被害者の資格情報を使って、会計部門の中で送金の権限を持つ従業員を探し出します。攻撃者は、さらに次のソーシャルエンジニアリング行為によって、個人のコンピュータに侵入を果たしていました。

 

移動しながらの攻撃

電子メールと C&C のトラフィックを調べたところ、攻撃者はイスラエルに拠点を置いている、またはイスラエルを経由して攻撃を行っていることが判明しました。しかし、発信元 IP アドレスがイスラエルにあるというのは普通ではありません。イスラエル国内通信会社の携帯電話加入者のネットブロック内にあるからです。そして、この攻撃が実際にはモバイルネットワークから発信されていること、しかも攻撃者が MiFi カードを使っているという重大な事実も、トラフィック解析で確認されました。

operation_of_C&C_server.png

図 2. フランス語話者による金銭詐取攻撃の C&C トラフィック

MiFi カードは、GSM セルラー無線機(GSM 電話と同等)であり、携帯電話ネットワークを通じてコンピュータシステムにインターネットアクセスすることができます。そのため、MiFi カード用の GSM SIM カードをバザーや個人販売で現金購入すれば、攻撃者は匿名性を確保できることになります。全世界の 3G プロバイダの多くは、プリペイド方式のデータ通信プランを用意しており、購入するとき身元証明が不要です。したがって、通信記録から個人を特定されることはありません。

さらに驚くべきことに、トラフィック解析からは、この攻撃者が攻撃を実行しながら常に移動していたことまで判明しています。このような防衛技術を利用されてしまうと、攻撃者の追跡はきわめて難しくなります。サイバー犯罪にこのような技術が使われるというのは、攻撃者が用いる手口がますます巧妙になっていることの表れです。移動中の MiFi カードを発見するには、特殊な機器を使う常駐の人物が待機する必要があり、通信プロバイダからも情報の援助を受けて MiFi カードの位置を検算しながら特定しなければなりません。

フランス語話者による金銭詐取は、サイバー犯罪者の活動がさらに高度になりつつあることを示す好例であり、この傾向は今後も続くと見込まれます。

今回の調査にご協力くださった Computer Emergency Response Team of Ukraine(CERT-UA)に感謝の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Francophoned – A Sophisticated Social Engineering Attack

In April 2013, the administrative assistant to a vice president at a French-based multinational company received an email referencing an invoice hosted on a popular file sharing service. A few minutes later, the same administrative assistant received …

Targeted Campaign Steals Credentials in Gulf States and Caribbean

Last week, McAfee’s Foundstone Incident Response team got hold of a piece of malware that was sent out during a phishing campaign. The campaign targeted several companies and institutes in the United Arab Emirates, Oman, Bahrain, and a couple of Caribbean islands. The executable that was sent with the email was called emiratesstatement.exe and the Read more…

Tibetan Activists Targeted with More Android Malware

Following the recent discovery of Android/Chuli.A, yet another Android malware has now been found using the same method as Chuli.A: via forged email messages with the Android malware (APK file) as an attachment. However, instead of creating a standalone malicious application that shows a fake invitation about an upcoming congress, this time the attackers compromised Read more…

Targeted Attacks the Next Step in Mobile Malware

The Android threat landscape continues to evolve in 2013. To distribute Android threats, malware authors are transitioning away from attacking traditional vectors like the Google Play Market and third-party Android markets to vectors like spam and phishing emails and SMS. Recently a new information-stealing Android malware was found being distributed as an attachment in emails Read more…