Tag Archives: Trojan.Wipbot

Darkmoon ?????????????????????????????????

ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。

開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。

figure1_0.jpg

図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール

この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬(RAT)です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」(英語)でも解説しているとおり、標的型攻撃に頻繁に使われています。

ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。

figure2.jpg
図 2.
ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール

この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。

こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。

このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Sochi Olympics Terrorism Fears Used As Bait for Targeted Darkmoon Campaigns

While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.

During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.

figure1_0.jpg

Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.

In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.  

In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.

figure2.jpg
Figure 2.
Email purporting to relate to military co-operation at the Sochi Olympics

Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.

These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.

As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.

Windows ????????????????????

      No Comments on Windows ????????????????????

11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。

シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。

この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
 

image1_17.png
図. この脆弱性を悪用する攻撃の分布図
 

シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。

この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。

いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Windows ????????????????????

      No Comments on Windows ????????????????????

11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。

シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。

この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
 

image1_17.png
図. この脆弱性を悪用する攻撃の分布図
 

シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。

この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。

いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Windows ????????????????????

      No Comments on Windows ????????????????????

11 月 27 日、Microsoft 社は Windows XP と Windows Server 2003 のカーネルコンポーネントにゼロデイ脆弱性が最近発見されたとして、セキュリティアドバイザリを公開しました。アドバイザリによると、Microsoft Windows カーネル ‘NDProxy.sys’ に存在するローカル特権昇格の脆弱性(CVE-2013-5065)により、攻撃者がカーネルレベルの特権を使って任意のコードを実行できる恐れがあります。攻撃者が脆弱性の悪用に成功すると、影響を受けるコンピュータは完全に危殆化してしまいます。

シマンテックは、この脆弱性を悪用しようとする攻撃を認識しており、11 月始めから攻撃が活発になっていることを確認しています。この攻撃では主に、syria15.10.pdf や Note_№107-41D.pdf といった名前の悪質な PDF ファイルが電子メールに添付されて送られてきます。また、攻撃者が用意した Web サイトから、標的のユーザーが騙されて悪質なファイルをダウンロードしてしまう場合もあります。

この脆弱性の悪用に成功すると、侵入先のコンピュータに別の悪質なファイルが投下されます。この悪質なファイルは 10 月中旬以降確認されており、シマンテックでは Trojan.Wipbot として検出します。このトロイの木馬は、システム情報を収集し、コマンド & コントロール(C&C)サーバーに接続します。シマンテックの遠隔測定によると、現在、インド、オーストラリア、米国、チリ、ハンガリー、ドイツ、ノルウェイ、サウジアラビアなど、さまざまな国や地域で、悪質な PDF が少数ながらも検出されていることが報告されています。
 

image1_17.png
図. この脆弱性を悪用する攻撃の分布図
 

シマンテック製品では、この攻撃を Trojan.Pidief または Suspicious.Cloud.7.F として検出する場合もあります。また、悪用コードを検出してダウンロードを遮断するために、以下のウイルス対策定義と侵入防止システム(IPS)のシグネチャも追加されています。

この Windows の脆弱性に対処するパッチはまだリリースされていませんが、Microsoft 社はセキュリティアドバイザリにおいて回避策を公開しています。

いつものように、最新のソフトウェアパッチを適用してコンピュータを最新の状態に保つことをお勧めします。また、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。