執筆: Tony Millington、Gavin O'Gorman
このブログで紹介している遮断済みのメールは、シマンテック ドット クラウドから提供されたものです。
シマンテックセキュリティレスポンスが発行した Nitro Attacks に関するホワイトペーパー(英語)は、2011 年 7 月から 2011 年 9 月にかけて見られた、あるハッカーグループの活動についてまとめた報告です。同グループは現在も活動中であり、化学薬品企業を標的とする点も変わらなければ、ソーシャルエンジニアリングの手口にも変化は見られません。つまり、パスワードで保護されたアーカイブファイルを電子メールに添付して標的に送信する手法を用いており、そのアーカイブファイルには悪質な実行可能ファイルが含まれています。この実行可能ファイルは Poison IVY の亜種で、メールの件名は普及率の高いソフトウェアのアップグレード、あるいはセキュリティ更新に関する内容です。最新の電子メール(図 1)では、臆面もなくシマンテックを騙り、「poison Ivy Trojan」からの保護を謳っています。
図 1. 脅威を警告する偽メール
また、添付されているアーカイブファイルは「the_nitro_attackspdf.7z」という名前で、これに「the_nitro_attackspdf .exe」という名前のファイルが含まれています(pdf と .exe の間に長い空白があるのは、これが PDF ファイルであると信じ込ませる常套手段であり、実際には自己解凍形式のアーカイブファイルです)。
図 2: 添付されているアーカイブファイルの内容、本物のレポートも含まれている
自己解凍形式のアーカイブファイルを実行すると、lsass.exe という名前のファイル(Poison IVY)と、PDF ファイルが生成されます。この PDF ファイルは、正真正銘、Nitro Attacks に関するシマンテックのレポートそのものです。攻撃者は、送信するメールに少しでも信頼性を持たせようとして、自分たちの攻撃について解説した文書をわざわざ標的に送信しているようです。
脅威の本体である lsass.exe は、%System%\web\service.exe に自身をコピーし、luckysun.no-ip.org というドメインへの接続を試みます。このドメインが解決される IP アドレスのホストは、これまでに確認された大部分の IP アドレスのホストに利用されていた同じホスティングプロバイダです。図 3 は、最新の攻撃も含めて、この攻撃に関与していたドメインの一部を図解したものです。
図 3: ネットワークマップ
表 1 に、シマンテック ドット クラウドにより遮断された最近の電子メールと、関連付けられていた脅威のサンプルの MD5 値を示します。
件名
|
ファイル名 |
MD5
|
検出名 |
Symantec Security Warning!(シマンテックからのセキュリティ警告!) |
The_nitro_attackspdf .exe
|
90e793e64e63317db15f4a64be8b56f9
|
Trojan.ADH |
so funny(笑えるよ) |
123.doc.exe
|
0b1b0fe45a179f75a5c4c3bad21ca185
|
Backdoor.Bifrose |
N/A(無題) |
learning materials.doc .exe
|
eb404fe1eec399127ac39336427503ac
|
Backdoor.Bifrose |
adobe update(Adobe 製品の更新) |
Adobe Reader Update.exe
|
d3ee44d903876bd942fc595c96151df8
|
Trojan.ADH |
Adobe Reader Upgrade Rightnow!(Adobe Reader を今すぐにアップグレード!) |
Install_ reader10_en_air_gtbd_aih.exe
|
d6404d5c7a65a23d8d1687fe1549d21e
|
Backdoor.Odivy |
Safety Tips(安全のためのヒント) |
Q329834_WXP_SP2_ia364_ENU.exe
|
14c9d01d152e25e98e6ee8758ecfa9a8
|
Trojan.Dropper |
表 1: 最新の電子メールとサンプル
ホワイトペーパーが公開されたにもかかわらず、このグループは依然として活動を続けています。手口もまったく変わらないばかりか、コマンド & コントロール(C&C)サーバーには同じホスティングプロバイダを使い続けています。該当するドメインはすでに無効化されており、シマンテックは関連する IP ホスティングプロバイダに連絡したうえ、ドット クラウドの電子メールスキャンサービスを介して引き続きメールを遮断しています。
シマンテック ドット クラウドのサービスをご利用のお客様は今後も、このグループによる攻撃からは保護されますので、ご安心ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。