Video Screencast Help
Security Response

Madi による攻撃: ソーシャルエンジニアリングを使った活動

Created: 18 Jul 2012 05:33:16 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

Madi は、標的型攻撃で使われるトロイの木馬として 2011 年 12 月から活動が確認されていますが、シマンテックセキュリティレスポンスには最近、この Madi に関する報告が多く寄せられています。

Madi による攻撃で見つかった電子メールのサンプルを以下に示します。これには、悪質な PowerPoint ファイルが添付されていました。
 

図 1. 悪質な PowerPoint ファイルが添付された標的型の電子メール
 

あるサンプルでは、添付されている PowerPoint ファイルを開くと、ミサイルがジェット機を撃破しているビデオの静止画像が次々と表示されます。PowerPoint の最後のスライドまで進むと、実行可能ファイルの実行を求めるダイアログボックスが開きます。
 

図 2. PowerPoint の最後のスライドで .scr ファイルの実行を求められる
 

シマンテックは、最新の LiveUpdate 定義に基づいてこの悪質な実行可能ファイルを Trojan.Madi として検出します。Trojan.Madi は情報を盗み取るトロイの木馬であり、キーロガー機能も備えているほか、自身を更新することもできます。Trojan.Madi はコマンド & コントロールサーバーと通信しており、そのホストはイランと、最近ではアゼルバイジャンにあることが確認されています。

Madi による攻撃の標的はさまざまな範囲にわたっており、石油会社や米国に拠点を置くシンクタンク、海外の領事館、エネルギー分野を含む各種の政府機関などが狙われているようです。
 

図 3. Madi による感染の世界的な分布図
 

Madi の標的になっているのは中東諸国が中心ですが、米国やニュージーランドなど世界中に被害が及んでいます。
 

図 4. 2011 年 12 月から 2012 年 7 月までの Madi の感染比率
 

世間を騒がせた Flamer、Duqu、Stuxnet などの攻撃では、ゼロデイ攻撃をはじめとしてシステムを悪用するさまざまな手口が使われていましたが、Madi では狙ったコンピュータへの侵入にソーシャルエンジニアリングの手法が使われています。

標的となったイラン、イスラエル、サウジアラビアなどでは、国家の関与も示唆されていますが、シマンテックの調査でその証拠は見つかっていません。どちらかというと、調査の結果からは、現代ペルシア語を使う未知のハッカーによる攻撃である可能性があり、攻撃の意図ももっと広いようです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。