Tag Archives: Trojan.Hangove.B

Operation Hangover ???????????????????

      No Comments on Operation Hangover ???????????????????
11 月 5 日、Microsoft 社は Microsoft Graphics コンポーネントに存在する新しいゼロデイ脆弱性「複数の Microsoft 製品のリモートコード実行の脆弱性」(CVE-2013-3906)に関するセキュリティアドバイザリブログを公開しました。この脆弱性の影響を受けるのは、Windows、Microsoft Office、Microsoft Lync です。アドバイザリによると、この脆弱性は特別に細工された TIFF 画像を特定のコンポーネントが処理する方法に存在し、影響を受けるコンピュータ上で攻撃者がリモートでコードを実行できる可能性があります。
 
Microsoft 社はこの脆弱性に対するパッチをまだリリースしていませんが、セキュリティ更新プログラムが利用可能になるまでの回避策として、一時的な「Fix It」ツールを提供しています。シマンテックは、このゼロデイ脆弱性を使った攻撃から、製品をお使いのお客様を保護するために、以下の保護対策を提供しています。
 
ウイルス対策
 
侵入防止システム
  • Web Attack: Microsoft Office RCE CVE-2013-3906_2
 
Microsoft 社のブログによると、この脆弱性は、細工された Word 文書を電子メールに添付して送信する標的型攻撃で活発に悪用されています。シマンテックがこのゼロデイ脆弱性の悪用を調査したところ、この攻撃の過程で送信される電子メールは、Symantec.Cloud サービスによって事前に遮断されることを確認しました。この攻撃で確認されている電子メールの件名と添付ファイル名の例を以下に示します。
 
ファイル名: Details_Letter of Credit.doc
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
ファイル名: Missing MT103 Confirmation.docx
電子メールの件名: Problem with Credit September 26th 2013(2013 年 9 月 26 日に発生したクレジットカードのトラブルについて)
 
ファイル名: Illegality_Supply details.docx
電子メールの件名: Illegal Authorization for Funds Transfer(口座振替の不正な承認について)
 
この攻撃で使われているペイロードを解析した結果、標的型の電子メールは、Operation Hangover として知られる攻撃活動でも使われていたことが確認されました。Operation Hangover については今年 5 月のブログ「Operation Hangover の攻撃に関する Q&A」でお伝えしています。このときの攻撃に関与していたグループは複数の脆弱性を悪用していましたが、ゼロデイ脆弱性を悪用していることは確認されていませんでした。前回のブログでは、Operation Hangover の実態が解明されても、攻撃に関与しているグループの活動が鈍化することはないだろうと予測しましたが、ゼロデイ脆弱性も悪用する今回の攻撃で、それがはっきり裏付けられたことになります。
 
シマンテックは、Operation Hangover から続く今回の攻撃に使われている脅威の検出定義を、Trojan.MdropperDownloaderInfostealer として提供しています。お客様がこの攻撃を識別しやすいように、Operation Hangover 攻撃の最新コンポーネントは、Trojan.Smackdown.B および Trojan.Hangove.B に対応付けています。
 
シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。いつものように、最新のソフトウェアパッチを適用してシステムを最新の状態に保ち、疑わしい電子メールは開かないようにすることをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。