Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

不敵な Nitro 攻撃者

Created: 13 Dec 2011 07:50:51 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

執筆: Tony Millington、Gavin O'Gorman

このブログで紹介している遮断済みのメールは、シマンテック ドット クラウドから提供されたものです。

シマンテックセキュリティレスポンスが発行した Nitro Attacks に関するホワイトペーパー(英語)は、2011 年 7 月から 2011 年 9 月にかけて見られた、あるハッカーグループの活動についてまとめた報告です。同グループは現在も活動中であり、化学薬品企業を標的とする点も変わらなければ、ソーシャルエンジニアリングの手口にも変化は見られません。つまり、パスワードで保護されたアーカイブファイルを電子メールに添付して標的に送信する手法を用いており、そのアーカイブファイルには悪質な実行可能ファイルが含まれています。この実行可能ファイルは Poison IVY の亜種で、メールの件名は普及率の高いソフトウェアのアップグレード、あるいはセキュリティ更新に関する内容です。最新の電子メール(図 1)では、臆面もなくシマンテックを騙り、「poison Ivy Trojan」からの保護を謳っています。

図 1. 脅威を警告する偽メール

また、添付されているアーカイブファイルは「the_nitro_attackspdf.7z」という名前で、これに「the_nitro_attackspdf                            .exe」という名前のファイルが含まれています(pdf と .exe の間に長い空白があるのは、これが PDF ファイルであると信じ込ませる常套手段であり、実際には自己解凍形式のアーカイブファイルです)。

図 2: 添付されているアーカイブファイルの内容、本物のレポートも含まれている

自己解凍形式のアーカイブファイルを実行すると、lsass.exe という名前のファイル(Poison IVY)と、PDF ファイルが生成されます。この PDF ファイルは、正真正銘、Nitro Attacks に関するシマンテックのレポートそのものです。攻撃者は、送信するメールに少しでも信頼性を持たせようとして、自分たちの攻撃について解説した文書をわざわざ標的に送信しているようです。

脅威の本体である lsass.exe は、%System%\web\service.exe に自身をコピーし、luckysun.no-ip.org というドメインへの接続を試みます。このドメインが解決される IP アドレスのホストは、これまでに確認された大部分の IP アドレスのホストに利用されていた同じホスティングプロバイダです。図 3 は、最新の攻撃も含めて、この攻撃に関与していたドメインの一部を図解したものです。

図 3: ネットワークマップ

表 1 に、シマンテック ドット クラウドにより遮断された最近の電子メールと、関連付けられていた脅威のサンプルの MD5 値を示します。

件名

ファイル名

MD5

検出名
Symantec Security Warning!(シマンテックからのセキュリティ警告!)

The_nitro_attackspdf .exe

90e793e64e63317db15f4a64be8b56f9

Trojan.ADH
so funny(笑えるよ)

123.doc.exe

0b1b0fe45a179f75a5c4c3bad21ca185

Backdoor.Bifrose
N/A(無題)

learning materials.doc .exe

eb404fe1eec399127ac39336427503ac

Backdoor.Bifrose
adobe update(Adobe 製品の更新)

Adobe Reader Update.exe

d3ee44d903876bd942fc595c96151df8

Trojan.ADH
Adobe Reader Upgrade Rightnow!(Adobe Reader を今すぐにアップグレード!)

Install_ reader10_en_air_gtbd_aih.exe

d6404d5c7a65a23d8d1687fe1549d21e

Backdoor.Odivy
Safety Tips(安全のためのヒント)

Q329834_WXP_SP2_ia364_ENU.exe

14c9d01d152e25e98e6ee8758ecfa9a8

Trojan.Dropper

表 1: 最新の電子メールとサンプル

ホワイトペーパーが公開されたにもかかわらず、このグループは依然として活動を続けています。手口もまったく変わらないばかりか、コマンド & コントロール(C&C)サーバーには同じホスティングプロバイダを使い続けています。該当するドメインはすでに無効化されており、シマンテックは関連する IP ホスティングプロバイダに連絡したうえ、ドット クラウドの電子メールスキャンサービスを介して引き続きメールを遮断しています。

シマンテック ドット クラウドのサービスをご利用のお客様は今後も、このグループによる攻撃からは保護されますので、ご安心ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。