エフセキュアブログ

DarkComet を含む記事

これは罠だ!

 身の回りに気を付けよう。単純な餌は、しばしば最大の効果を発揮する…。

 ここに最新のスパムメールの例を挙げる。次のような名前で添付されたExcelファイルだ。

Payment instruction & Swift.xls
Payment instruction & Swift.xls
マクロベースのマルウェアが添付された「Payment」マルウェア

 このExcelの添付ファイルには悪意のあるマクロプログラムが含まれており、DarkComet RATのダウンロードおよびインストールを試みる。エフセキュアではこの添付ファイル(および類似のもの)をW97M.Downloader.Cとして検知する。

 ひどい代物だ。

 この餌についてだが…、スパムメッセージは私の「Bulk」フォルダに行きつく。なぜか?直接私に宛てられていないメッセージは、そちらへ追い払うルールを適用しているからだ。攻撃未遂者はBcc:フィールドを使用しているため、もっとも信頼度の低いフォルダにこうしたメッセージが行き着くことを確実にしているのだ。読者の皆さんや、もっと重要なのは皆さんの所属する組織の支払担当の人については、どうだろう?この罠を開いて実行しやしないだろうか?そうかもしれない。人間なのだから。

 ヒューマンエラーの機会を減らそう。Officeファイル中のマクロを無効にするのだ。

 @5ean5ullivan



シリアで標的型攻撃

  シリアはこのところ、国際的に注目の的となっている。国内に政情不安があり、独裁政権が反体制派に対して、残忍な戦術を使用している。これらの戦略には、技術監視やトロイの木馬、バックドアなどが含まれている。

  先日我々は、あるつてからハードドライブを受けとった。このドライブには、地元当局により標的とされているシリアの活動家のシステム画像が含まれていた。

Syria

  この活動家のシステムは、Skypeチャットにより感染していた。チャットのリクエストは、仲間の活動家からのものだ。問題は、その仲間がすでに逮捕されており、チャットを開始することが不可能だったということだ。

  最初の感染は、その活動家がチャットを介して「MACAddressChanger.exe」というファイルを受けとった際に起きた。このユーティリティは、一部のモニタリングツールを回避するため、ハードウェアのMACアドレスを変更すると考えられていた。しかし実際は、「silvia.exe」という名のファイルをドロップした。これは「Xtreme RAT」というバックドアだ。

  「Xtreme RAT」は本格的な悪意あるRemote Access Toolだ。

  Google Sitesでホスティングされているページを介して、100ユーロ(Paypal)で販売されている:https://sites.google.com/site/nxtremerat

Xtremerat

  我々には、この感染が単なる不運によるものではないと信じる理由がある。この活動家のコンピュータは標的にされたのだと思う。いずれにせよ、同バックドアはIPアドレス216.6.0.28にコールホームする。このIPブロックはシリア・アラブ共和国—STE(Syrian Telecommunications Establishment)に属している。.

  これはシリアで、トロイの木馬がこのような目的で使用された初のケースではない。

  過去の類似するケースに関しては、以下のリファレンスをご覧頂きたい:

http://articles.cnn.com/2012-02-17/tech/tech_web_computer-virus-syria_1_opposition-activists-computer-viruses-syrian-town?_s=PM:TECH

http://blogs.norman.com/2012/security-research/the-syrian-spyware

http://resources.infosecinstitute.com/darkcomet-analysis-syria/
(似たような攻撃で使用された別のRATの作者へのインタビューを含む)

  問題のサンプルのSHA-1ハッシュ:

  •  2c938f4e85d53aa23e9af39085d1199e138618b6
  •  a07209729e6f93e80fb116f18f746aad4b7400c5

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード