Turla: ?????????????????
進化したマルウェアを用いた、旧東側諸国の政府機関や大使館を標的とする組織的なサイバースパイ活動
進化したマルウェアを用いた、旧東側諸国の政府機関や大使館を標的とする組織的なサイバースパイ活動
Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries.
Read more…
Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries.
Read more…
Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries.
Read more…
Cyberespionage group uses sophisticated malware to target former Eastern Bloc countries.
Read more…
ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性(CVE-2014-0502)が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。
図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃
攻撃の手口
今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト(giftserv.hopto.org)にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル(Trojan.Malscript)が読み込まれ、このファイルによって標的のシステムが 32 ビットか 64 ビットかが判定されます。この判定結果に応じて、攻撃者のサーバーにホストされている 32 ビットまたは 64 ビットのいずれかのフォルダから、悪質な index.html ファイル(これも Trojan.Malscript として検出されます)と追加コンポーネントがダウンロードされます。悪質な index.html は次に cc.swf という Adobe Flash ファイル(Trojan.Swifi)を読み込み、これにゼロデイ脆弱性が存在します。悪用に成功すると、暗号化されたシェルコードを含む logo.gif という画像ファイルがダウンロードされ、このシェルコードによって悪質なペイロード server.exe(Backdoor.Jolob)がダウンロードされ実行されます。
今回の攻撃に対する防止策と緩和策
インストールされている Adobe 製品を最新バージョンに更新して、この脆弱性に緊急に対処することをお勧めします。ソフトウェアのアップグレード方法について詳しくは、Adobe Security Bulletin を参照してください。
シマンテック製品をお使いのお客様は、以下の検出定義によって今回のゼロデイ攻撃から保護されています。
ウイルス対策
侵入防止シグネチャ
また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
衰えを見せない水飲み場型攻撃
水飲み場型攻撃が、特定の個人を標的にした攻撃者の間で多用され続けていることは、今回の事例からも明らかです。ゼロデイ脆弱性が次々と悪用されていることを考えると、攻撃者が使える武器は無尽蔵とも言えます。複数の Web サイトで Adobe Flash のこの脆弱性が確認されていますが、送信されているペイロードはそのすべてで異なります。今回のゼロデイ悪用コードが多くの攻撃者に販売されている可能性や、あるいは単独の攻撃者が複数の攻撃キャンペーンを仕掛けている可能性があります。シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。
図 2. 水飲み場型攻撃の手口
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Watering hole attacks using zero-day vulnerabilities are becoming more common. Last week we announced an Internet Explorer 10 zero-day being used in a watering hole attack and today, just one week later we have an Adobe Flash zero-day, Adobe Flash Player and AIR CVE-2014-0502 Remote Code Execution Vulnerability (CVE-2014-0502), also being used in a watering hole attack. This new attack has been dubbed “Operation GreedyWonk” in various media and is reported to be targeting the websites of three non-profit institutions. Symantec telemetry shows even more sites being targeted in this watering hole attack using this new zero-day.
Figure 1. Watering hole attack using Adobe Flash 0-day
Anatomy of the attack
This attack technique is known as a watering hole attack. In this case the target visits a compromised website that contains an IFrame inserted by the attackers in order to redirect the target to another website (giftserv.hopto.org). This new site loads a malicious index.php file (Trojan.Malscript) which checks whether the victim is running a 32-bit or 64-bit system. Depending on the results, a malicious index.html file (also Trojan.Malscript) and additional components are also downloaded from either the 32-bit or 64-bit folders hosted on the attacker’s server. The malicious index.html file then loads the cc.swf Adobe Flash file (Trojan.Swifi) containing the zero-day. Once exploited, a logo.gif image file is downloaded containing encrypted shellcode which downloads and executes the malicious server.exe (Backdoor.Jolob) payload.
How can I prevent and mitigate against this attack?
Symantec recommends users update their Adobe product installations to the latest versions to address this critical vulnerability. Details of how to upgrade software are available in an Adobe Security Bulletin.
Symantec customers are protected from this zero-day attack with the following detections:
Antivirus
Intrusion Prevention Signatures
As always, we also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.
Watering hole attacks remain popular
This latest watering hole attack demonstrates that it remains a popular technique for attackers to target individuals of interest. The use of yet another zero-day indicates the arsenal available to attackers shows no signs of depletion. Multiple websites have been identified using this Adobe Flash zero-day, all with different payloads being delivered. This may be the result of this particular zero-day being sold to a number of different attackers, or possibly that it was used by a single attacker in multiple campaigns. Symantec continues to investigate this attack to ensure that the best possible protection is in place.
Figure 2. Anatomy of a watering hole attack
En los últimos años, han aparecido informes que detallan las actividades y actores detrás de varios ataques persistentes o APT. En Symantec Security Response hemos seguido de cerca a un grupo que consideramos entre los mejores de su clase, lo denominamos como “Hidden Lynx” (lince escondido) por una cadena encontrada en las comunicaciones de servidores de control y comandos. “Hidden Lynx” es un grupo con un impulso y deseo que superan a otros grupos muy conocidos, tales como APT1/Comment Crew. Las principales características de este grupo son:
Estos atributos se ven en las fuertes campañas y ataques que han realizado contra múltiples blancos en simultáneo durante un período de tiempo ininterrumpido. El grupo es pionero de la técnica “watering hole” que se utiliza para emboscar a los blancos o víctimas. Tienen acceso temprano a vulnerabilidades de día cero, además de la tenacidad y paciencia de un cazador inteligente para comprometer la cadena de suministros y así llegar a su blanco real. Estos ataques a las cadenas de suministro se llevan a cabo infectando computadoras de un proveedor del blanco planeado y luego esperando a que las computadoras infectadas se instalen y contacten a su base. Claramente, estas son acciones calculadas y no incursiones impulsivas de amateurs.
Asimismo, el grupo no se limita a un conjunto de blancos pequeño, sino que atacan a cientos de organizaciones distintas en muchos países diferentes, incluso al mismo tiempo. Dada la amplitud y el número de blancos y países involucrados, es muy probable que la organización esté formada por hackers profesionales contratados por clientes para obtener información. Ellos roban lo que sea que les pueda interesar a sus clientes bajo pedido. De ahí la gran variedad y amplitud de blancos.
También creemos que para llevar a cabo ataques a esta escala, el grupo debe tener una experiencia considerable de hackeo a su disposición, tal vez entre 50 y 100 empleados organizados en por lo menos dos equipos que llevan a cabo distintas actividades con diferentes herramientas y técnicas. Los tipos de ataques identificados requieren tiempo y esfuerzo para desplegarse, y en algunos casos, las campañas requieren de recolección de inteligencia y una investigación antes de articular los ataques con éxito.
Al frente de este grupo hay un equipo que utiliza herramientas desechables junto con técnicas básicas pero efectivas para atacar a muchos blancos distintos. También pueden actuar como recaudadores de inteligencia. Hemos llamado a este equipo el “Equipo Moudoor”, por el nombre del troyano que utilizan. “Moudoor” es un troyano de puerta trasera que el equipo utiliza con libertad, sin preocuparse por ser descubierto por las empresas de seguridad. Un segundo equipo actúa como una unidad de operaciones especiales, personal de élite, que se dedica a los blancos más valiosos o más resistentes. El equipo de élite usa un troyano llamado Naid y por eso nos referimos a él como “Equipo Naid”. A diferencia de “Moudoor”, el troyano “Naid” se usa moderadamente y con cuidado para evitar detección y captura. Funciona como un arma secreta que solamente se utiliza cuando fallar no es una opción.
Según nuestra investigación, desde 2011 el grupo realizó al menos seis campañas importantes, de las cuales la más notable es la campaña de ataque VOHO descubierta a mediados de 2012. Lo especialmente interesante de este ataque fue el uso de la técnica de “watering hole” y que se comprometió la infraestructura confiable de registro de archivos de Bit9. La campaña VOHO tenía como objetivo final atacar contratistas de defensa de los Estados Unidos cuyos sistemas estuvieran protegidos por el software de seguridad basado en archivos confiables de Bit9. Cuando el progreso de los atacantes de “Hidden Lynx” se vio bloqueado por este obstáculo, reconsideraron sus opciones y descubrieron que la mejor manera de esquivar la protección era comprometer el propio centro de la protección y usarlo para sus propósitos. Así que eso fue exactamente lo que hicieron cuando dirigieron su atención a Bit9 y atravesaron sus sistemas. Una vez adentro, los atacantes rápidamente encontraron el camino a la estructura de registro de archivos que era la piedra fundamental del modelo de protección de Bit9 y luego usaron el sistema para registrar una serie de archivos de malware, mismos que después se usaron para vulnerar a los blancos planeados.
Para aquellos interesados en obtener más información sobre esta investigación, hemos publicado un informe que describe al grupo y los ataques que han realizado.
También compartimos a continuación una infografía con datos clave sobre el prolífico grupo “Hidden Lynx”.
過去数年間で、各種の標的型攻撃や APT(Advanced Persistent Threat)の背後に存在する集団の活動について、詳しい報告が目に付くようになってきました。シマンテックセキュリティレスポンスは、なかでも特に精鋭と考えられるグループについて監視を続けており、これを Hidden Lynx(謎の山猫)と命名しました。この名前はコマンド & コントロールサーバーとの通信で見つかった文字列に由来します。このグループの貪欲さと機動力は、APT1/Comment Crew といった、よく知られている他のグループと比べても飛び抜けており、次のような特徴があります。
同時に複数の標的に対して長期的に続いている執拗な攻撃活動に、こうした特徴が見て取れます。標的を待ち伏せる「水飲み場型」攻撃の先駆者であり、ゼロデイ脆弱性にもまっ先に目を付けます。そして、真の標的にたどり着くためにまずサプライチェーンに侵入するという、まるで熟練したハンター並の粘り強さも持ち合わせています。サプライチェーン攻撃を仕掛けるには、まず狙った標的組織のサプライヤのコンピュータに侵入します。そのうえで、感染したコンピュータが設置され、応答するのを待ちます。これは間違いなく冷静に計算し尽くされた行動であり、素人の衝動的な思いつきなどではありません。
このグループの攻撃は少数の標的に限定されているわけではなく、さまざまな地域で何百もの組織が同時に狙われることもあります。被害を受けた標的や地域の数と多様さを考えると、このグループは雇われのプロハッカー集団である可能性が高く、クライアントと契約して情報を提供しているものと推察されます。クライアントが望む情報を依頼に応じて盗み出しているため、標的が多様化しているのでしょう。
また、これほどの規模で攻撃を実行するためには、ハッキングに関して相当の専門知識を自在に操れることが必要です。グループにはおそらく 50 ~ 100 人規模の工作員が雇われており、それが少なくとも 2 つ別個のチームに編成され、異なるツールや技術を用いてそれぞれ別の活動に当たっていると考えられます。こうしたタイプの攻撃を実行するには時間と労力が必要であり、ときには攻撃に成功するために事前の調査と情報収集が必要な場合もあります。
このグループでも最前線に立っているのが、基本的ながらも効果的な手口と使い捨てのツールを利用してさまざまな標的を攻撃しているチームです。このチームは情報収集活動にも当たっており、使われているトロイの木馬にちなんで Team Moudoor と呼ばれています。Moudoor はバックドア型のトロイの木馬で、セキュリティ企業による検出を意に介することなく奔放に使われています。これとは別に、特殊作戦部隊のような機能を果たしているチームもあります。かつて、非常に貴重で厳重な標的に侵入したことのあるエリート集団です。このエリートチームは、Naid という名前のトロイの木馬を使っていることから、Team Naid と呼ばれています。Moudoor とは異なり、Naid は検出や捕捉を避けるために非常に慎重に使われています。さながら、絶対に失敗が許されない秘密兵器のようです。
このグループは、2011 年以降少なくとも 6 件の重大な活動に関わっていることが確認されています。特に有名なのが、2012 年 6 月の VOHO 攻撃です。この攻撃で特に注目に値するのは、水飲み場型攻撃の手口が使われたことと、Bit9 社の信頼済みファイル署名インフラが侵害されたことです。VOHO 攻撃の最終的な標的は米国の軍事企業で、そのシステムは Bit9 社の信頼ベースのソフトウェアで保護されていました。その保護機能によって攻撃が遮断されたときに、Hidden Lynx は作戦を見直し、保護をすり抜けるには保護システムの心臓部そのものに侵入して、自分たちの目的に合わせて悪用するのが一番だと気づきます。こうして Hidden Lynx は、Bit9 社に攻撃の目を向け、そのシステムを侵害したのです。侵害を果たした攻撃者は、Bit9 社の保護モデルの基盤であるファイル署名インフラへの侵入路も瞬時に見つけだします。そして、このシステムを使って多数のマルウェアファイルに署名し、さらにその署名済みのファイルを使って最終的な標的への侵入に成功しました。
さらに詳しい情報については、Hidden Lynx グループと、その攻撃活動について解説したホワイトペーパー(英語)を参照してください。
また、多くの被害をもたらしている同グループについて重要な情報をまとめた、以下の解説画像もご覧ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
For the past few years, reports have continued to emerge detailing the activities of actors behind various targeted attacks or Advanced Persistent Threats (APTs). Here at Symantec Security Response, we’ve been keeping our eyes on a group that we …