トロイの木馬によるスピア攻撃やスパイ行為を定期的に見かけるが、以下は典型的なケースだ。

 悪意あるExcel XLSファイル ( md5: 3c740451ef1ea89e9f943e3760b37d3b ) が、あるターゲット(どうやら一人だけ)にメールで送信された。

 メールを開いてみると、そのXLSは以下のようなものだった:

pc-officer

 しかし実際のところ、この悪意あるファイルは既にExcelを悪用し、ユーザーがこれを見る以前にコンピュータを乗っ取っている。

 同エクスプロイトコードは、SYSTEM32フォルダに2つの新しいDLLファイル(「apimgr.dll」と「netserv.dll」を作成し、実行する。

 これらのDLLファイルは以下のサイトを使用して、攻撃者に通信しようとするバックドアだ。

 ・ feng.pc-officer.com
 ・ ihe1979.3322.org

 今のところ、ホスト ihe1979.3322.org は、まったくリゾルブされておらず、feng.pc-officer.com はプレースホルダーIP(63.64.63.64となっている)にリゾルブされている。攻撃者は一時的にホスト名を本物のIPアドレスにリゾルブさせ、その上でそれを戻して、自分たちのトラックに隠すことが可能だ。

 pc-officer.comというドメイン名は奇妙なドメインだ。これは2006年には既に登録されており、以前、スピア攻撃に使用されたことがある。

 ISCブログの2007年9月のエントリー(英語)を見て欲しい。この時の攻撃はXLSではなくDOCファイルを介して行われている。そしてレポーティングサーバはfeng.pc-officer.comではなく、ding.pc-officer.comだった。

 もしまだ GhostNet について聞いたことがないなら、今回がチェックする良い機会だろう。

追記:この地図の画像がどの地域を示しているのか、我々には分からない。分かる人がいれば、コメントを残して欲しい。





4月7日(水)の追記:
 我々はホストfeng.pc-officer.comのモニタリングを続けている。予想した通り、昨日しばらくの間稼働した。
 我々のログは以下のようなものだ:
   Tue 7 Apr 2009 16:13:21    63.64.63.64
   Tue 7 Apr 2009 16:14:17    63.64.63.64
   Tue 7 Apr 2009 16:15:13    63.64.63.64
   Tue 7 Apr 2009 16:16:09    216.255.196.154
   Tue 7 Apr 2009 16:17:04    216.255.196.154
   Tue 7 Apr 2009 16:18:00    216.255.196.154
   Tue 7 Apr 2009 17:40:33    216.255.196.154
   Tue 7 Apr 2009 17:41:29    216.255.196.154
   Tue 7 Apr 2009 17:42:25    216.255.196.154
   Tue 7 Apr 2009 17:43:21    63.64.63.64
   Tue 7 Apr 2009 17:44:17    63.64.63.64
   Tue 7 Apr 2009 17:45:13    63.64.63.64
 IP 63.64.63.64はプレースホールダーに過ぎず、216.255.196.154が実際のコントロール・サーバだ。探知されるのを避けるため、散発的にしかオンラインになっていない。
 同IPはアメリカ合衆国スポーケンに位置している。
% whois 216.255.196.154
   
   OrgName: One Eighty Networks
   OrgID: OEN-1
   Address: 118 N Stevens
   City: Spokane
   StateProv: WA
   PostalCode: 99201
   Country: US
4月9日(木)の追記:
 再び変化があった。ホストfeng.pc-officer.comは現在、211.234.122.84を指している。
 同IPは韓国ソウルに位置している。
% whois 211.234.122.84
   
   [ IPv4ÁÖ¼Ò »ç¿ë ±â°ü Á¤º¸ ]
   ±â°ü°íÀ¯¹øÈ£ : ORG137200
   ±â°ü¸í : (ÁÖ)¿¤Áöµ¥ÀÌÄÞ
   ÁÖ¼Ò : °­³²±¸ ³íÇöµ¿
   »ó¼¼ÁÖ¼Ò : 261-1
   ¿ìÆí¹øÈ£ : 135-010