Tag Archives: Trojan.Hangove

Operation Hangover の攻撃に関する Q&A

5 月 20 日、Norman 社と Shadowserver Foundation は「Operation Hangover」と題する詳細なレポートを共同で公開しました。このレポートは、インドから発信されていると思われる標的型のサイバースパイ攻撃に関する先日の ESET 社のブログに関連しています。シマンテックも先週この事案について短いブログを公開しましたが、以下の Q&A では、このグループについて特にシマンテックに関連のある追加情報をお届けします。

Q: シマンテック製品やノートン製品は、このグループによって利用されている脅威に対する保護を提供していますか?
はい。シマンテックは、ウイルス対策と IPS シグネチャ、さらには評価ベースや振る舞いベースの技術などの STAR マルウェア対策技術によって、Operation Hangover が関与する攻撃から保護しています。また、Symantec.cloud も、このグループによる標的型電子メールを検出します。

Q: シマンテックは Operation Hangover の活動に気づいていましたか?
はい。前回のブログでも指摘したように、複数のセキュリティベンダーがその活動を追跡していますが、シマンテックは、長年にわたってこのグループに関する情報を捕捉しており、その活動を追跡しています。また、Operation Hangover によって利用されているさまざまな脅威に対して常に最善の保護対策を提供しています。

Q: Operation Hangover という名前の由来は何ですか?
Norman 社と Shadowserver Foundation が Operation Hangover という名前を使ったのは、このグループによって特に頻繁に利用されているマルウェアに、この名前を含むプロジェクトデバッグパスが使われていたからです。

Q: この攻撃の被害者はどのように感染するのですか?
最初の感染は、標的に送りつけられたスピア型フィッシングメールから始まります。この電子メールには、その標的に関連するテーマに沿ったファイルが添付されています。図 1 に、Operation Hangover による攻撃の各段階を示します。

NewHangove_0.png

図 1. Operation Hangover による攻撃

この電子メールには悪質なファイルが添付されており、開くと標的のシステムに感染するか、標的のシステムの脆弱性を悪用しようとします。成功すると、第 1 段階のマルウェアが侵入先のシステムにロードされます。このマルウェアは大部分が、Smackdown として知られる Visual Basic ダウンローダからのものです。

侵入先のシステムの調査を済ませると、攻撃者は第 2 段階のマルウェアをダウンロードするかどうかを決定できるようになります。これは、大部分が C++ で記述された情報窃盗マルウェアで、HangOve というマルウェアグループに属します。HangOve グループでダウンロードされるモジュールはいくつかあり、以下の処理を実行します。

  • キーロガー
  • 逆接続
  • スクリーングラバー
  • 自己複製
  • システム情報収集

Q: シマンテックは、このグループがどのような組織を標的としているか把握していますか?
はい。シマンテックの遠隔測定によれば、この攻撃は主としてパキスタンを標的にしていることが確認されています。一連の攻撃では防衛関連の文書が餌として使われていることから、特に狙われているのは政府のセキュリティ機関と考えられますが、同じグループがパキスタン以外では産業スパイ活動に関与していることも確認されています。

Q: この脅威はどのように拡散するのですか?
図 2 と 3 に示すように、シマンテックの遠隔測定によると、このグループの被害が最も大きいのはパキスタンです。これは、同グループに関する他の調査結果とも一致しています。すでに述べたように、このグループの活動は 1 つの標的または地域に限定されてはいません。

HeatMap.png

図 2. シマンテックの遠隔測定で検出された Operation Hangover 関連の分布図

Pie.png

図 3. シマンテックの遠隔測定で Operation Hangover の攻撃が検出された上位 10 カ国

Q: このグループによって利用されている脅威に対するシマンテックの検出定義にはどのようなものがありますか?
シマンテックは、このグループによって利用される脅威に対して以下の名前で検出定義を用意しています。

シマンテック製品をお使いのお客様がこのグループを特定できるように、この攻撃活動の主なコンポーネントは、以下のように再定義されています。

以下の IPS(侵入防止シグネチャ)も用意されています。

  • System Infected: Trojan.Hangove Activity

Q: シマンテック製品やノートン製品は、このグループによって利用されている悪用から保護されていますか?
はい。このグループが悪用している既知の脆弱性と、それに対するシマンテックの保護定義を以下に示します。現時点で、このグループがゼロデイ脆弱性を攻撃に利用している、またはこれまでに利用した形跡はありません。

Table1.png

Q: 今回のレポートは、Operation Hangover を実行しているグループの活動にどう影響するでしょうか?
これまでの例と同様、ここまで情報が明らかになりながらも、Operation Hangover のグループは今後も活動を継続するものとシマンテックは考えています。シマンテックでは、Operation Hangover の活動について監視を続け、各種の攻撃に対する万全の保護を引き続き提供します。いつものことですが、このようなグループの攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。