Video Screencast Help
Security Response

W32.Extrat: Xtreme RAT の拡散に利用されるシリア騒乱

Created: 10 Jan 2013 05:24:06 GMT • Translations available: English
Satnam Narang's picture
0 0 Votes
Login to vote

寄稿: Jeet Morparia
 

シリア騒乱が続く中、中東とヨーロッパのさまざまな組織に対する電子メール攻撃が確認されています。
 

図 1. この活動で使用される「Free Dom」(Freedom)による電子メールのサンプル
 

標的となる組織は、公立大学、ホテル、石油会社、政府機関など、多岐にわたっています。

この電子メールにはアラビア語のテキストが記載されており(図 1)、これはシリア現政権に対する反体制派の指導者、アドナン・アル・アルール氏(Adnan al-Aroor)からの重要なメッセージだと書かれています。電子メールには、.lnk(ショートカット)ファイルを格納した .zip ファイルが添付されています。

以前、別の攻撃に使用されている .lnk ファイルについてブログに記載したことがありますが、今回の攻撃は、ソーシャルエンジニアリングを用いたものです。
 

図 2. この活動で使用されている .lnk ファイルのプロパティ
 

この .lnk ファイル(Downloader として検出)には、MSHTA.exe(Microsoft HTML アプリケーションホスト)ファイルへの参照が含まれています。.lnk ファイルのリンク先には、悪質な Web サイトにホストされている HTML ファイルを指す引数が指定されています。

HTML ファイルには、Visual Basic スクリプトと埋め込み実行可能ファイルが含まれています。このスクリプトの役割は、侵入先のコンピュータに 1.exe ファイルを投下して実行することです。1.exe ファイルは、AutoIt スクリプトでコンパイルされた実行可能ファイルです。

このファイルは、実行されると、コンピュータの一時フォルダに svhost.exe ファイルという名前で自身をコピーし、指定した一時フォルダに次のファイルを作成します。

  • Microsoft.vbs
  • once.txt
  • start.cmd
  • svhost.exe

図 3. 偽装用の文書ファイル
 

次に、Windows を起動するたびに実行されるようにレジストリエントリを作成します。また、araor.doc ファイル(図 3)を %Temp% フォルダに投下して開きます。このファイルには、本来のワナに関連付けられたテキスト(アドナン・アル・アルール氏からのメッセージ)が記載されています。これは、この活動をもっともらしく見せるための偽装で、実際には、ユーザーは Xtreme RAT に感染してしまいます。シマンテックは、この脅威を W32.Extrat として検出します。

Xtreme RAT という、このリモート管理ツール(RAT)を利用すると、リモートユーザーはキーストロークを監視し、侵入先のコンピュータから情報を盗み出すことができるようになります。今回の例では、ポート 82 で tn5.linkpc.net へのアウトバウンド接続を確認しました。
 

図 4. 同じ活動で使われる別の偽装用文書
 

現在、W32.Extrat を拡散しようとする活動は他にもあり、たとえば別のワナを使う点を除いて、ほぼ同じものもあります。上記の図 4 は、その活動で使用される偽装用文書です。

中東での騒乱にかこつけたマルウェアの存在を確認したのは今回が初めてではなく、おそらく今後も後を絶たないでしょう。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。