トレンドマイクロでは、2012年3月中旬以降、話題になっている時事問題に便乗した特定人物宛のメールを複数確認しており、解析を続けています。確認したメールの 1つには、チベット自治区ラサでの抗議活動に関するドイツ首相の声明が記載されているように装っていました。このメールの送信者欄には、チベット人の人権や民主的自由を支援する非営利団体でオーストラリアを拠点とする「Australian Tibet Council(ATC)」の幹部から送られたように見せかけていました。もちろん、このメールは偽装されたもので、メールアドレスは上述の幹部を装うために作成されたものにすぎません。このメールには、Microsoft の Wordファイルが添付されており、ドイツ首相の声明に関する主要部分が記載されているように見せかけていました。この添付ファイルは、ダウンロードされると、トレンドマイクロの製品では「TROJ_ARTIEF.AE」として検出されます。「TROJ_ARTIEF.AE」は、Wordファイルに存在する脆弱性「CVE-2010-3333」を利用して、異なるファイルを作成します。この作成されたファイルは、「TSPY_MARADE.AA」として検出され、特定のシェルコマンドを実行することで、ネットワークおよびシステムの情報を収集する機能を備えています。こうして収集された情報は、不正な Webサイトにアップロードされます。
 |
|
|
弊社は、上記のメール同様にチベット問題に関連する別のメールを確認しています。このメールは、「Tibetan Women’s Association(TWA、チベット女性協会)Central」から送信され、国連人権委員会の「第 56回女性の地位委員会会議」での TWA による演説内容が含まれているように装っていました。ドイツ首相の声明をかたる上述のメール同様に、演説の全文が記載されたとされる Wordファイルが添付されていました。この Wordファイルは、トレンドマイクロの製品では「TROJ_ARTIEF.CP」として検出され、「TROJ_REDOSDR.AH」と検出されるファイルを作成します。
 |
|
|
トレンドマイクロでは、解析結果に基づき、今回のメールを発端とする攻撃は「標的型攻撃」だとみなしています。上述の 2つのメールは、特定の政治問題に便乗し、ソーシャルエンジニアリングの手法を用いて攻撃を仕掛けています。また、今回の攻撃を仕掛けた人物は、チベット問題に関連する人物や組織について深く理解していることも伺えます。そして、ATC や TWA Central を装ったメールは、明らかに(設定された)受信者を狙っているようでした。今回利用された手法は、標的型攻撃を仕掛ける攻撃者やスパムメール送信者によって使われる手法と何ら変わりはなく、今回狙われた団体に必ずしもセキュリティ上の問題があった訳ではありません。しかし、弊社が今回の一連の攻撃を標的型攻撃と疑うさらなる理由として、攻撃に利用されたメールが、明らかに著名なチベット人宛に送られたものだったということがあります。
以下の表は、弊社が今回の一連の攻撃で確認したメールおよび添付ファイルのリストとなります。ただし、この表は、最終的なものではなく、他の亜種が今後確認される可能性もあります。
| 件名 | 添付ファイル | |||
| ファイル名 | ファイル形式 | 検出名 | 作成されるファイルの検出名 | |
| Germany Chancellor Again Comments on Lhasa protests | Germany Chancellor Again Comments on Lhasa Protests.doc | DOC | TROJ_ARTIEF.AE | TSPY_MARADE.AA |
| TWA’s speech in the meeting of the United Nations Commission for Human Rights | TheSpeech.doc | DOC | TROJ_ARTIEF.CP | TROJ_REDOSDR.AH |
| Fowarding of TWA message | English_Final_Statement.doc、English_Final_Statement_1.doc | DOC | TROJ_ARTIEF.DA、TROJ_ARTIEF.DB | TROJ_SWISYN.GT |
| Open Letter To President Hu | Letter.doc | DOC | TROJ_ARTIEF.DD | TSPY_ROFU.NSS |
| Tibetan environmental situations for the past 10 years | Tibetan environmental statistics.xls | XLS | TROJ_MDROPPR.BJ | BKDR_MECIV.AC |
| An Urgent Appeal Co-signed by Three Tibetans | Appeal to Tibetans To Cease Self-Immolation.doc | DOC | TROJ_ARTIEF.CX | TROJ_SASFIS.UL |
| About TYC Centrex Notice and New email id of TYC Centrex | Centrex_Contact.doc | DOC | TROJ_ARTIEF.CZ | TROJ_SHWOM.A |
| [Tanc] JOINS US: March 10, Saturday: 53rd Commemoration of the 1959 Tibetan National Uprising Day. | march10.doc | DOC | TROJ_ARTIEF.DF | TROJ_SHWOM.A |
| 10th march speech | 10th March final.doc, 10th March final.pdf | DOC、PDF | TROJ_ARTIEF.CU | BKDR_MECIV.AA、BKDR_MECIV.AD |
| FW: Call for End to Burnings | Support List.xls | XLS | TROJ_MDROPPR.BK | BKDR_PROTUX.BK、BKDR_PROTUX.BJ |
| Public Talk by the Dalai Lama _ Conference du Dala_ Lama Ottawa, Saturday, 28th April 2012 | Public Talk by the Dalai Lama.doc | DOC | TROJ_ARTIEF.DG | TROJ_SWISYN.GT |
| Bonafide Certificate of Miss Tenzin Tselha | tentselha.zip (contains tentselha.jpg, tentselha.jpg.lnk, tentselha1.jpg) | ZIP(LNK、EXE、JPGファイルを含む) | TROJ_REDOSDR.AH | TROJ_REDOSDR.AH |
| TWA mourns the self immolation deaths of two female protesters this past weekend | TWA mourns the self immolation deaths of two female protesters.doc | DOC | TROJ_ARTIEF.SM3 | TSPY_MARADE.AA、TSPY_ZBOT.BPG |
| Self-Immolations: New heightened form of Non Violent protests in Tibet | TWA looks back at the aftermath and the undercurrents of the 52 years of Chinese rule in Tibet.doc | DOC | TROJ_ARTIEF.DH | BKDR_AGENT.ZZZZ |
| Arrest and protests mar ‘Losar’ week in Tibet.eml | an appealing letter to the United Nations.doc | DOC | TROJ_ARTIEF.CW | TROJ_SWISYN.HV |
| UN Human Rights Council publishes written statement on discrimination in Tibet.eml | G1210456.doc | DOC | TROJ_ARTIEF.CT | TROJ_SWISYN.HV |
| Students For A Free Tibet !.eml | Action Plan for March 10th.doc | DOC | TROJ_ARTIEF.JD | BKDR_DUOJEEN.A |
2012年2月29日に Malware Blog 上で、北米のプロバスケットボールリーグ「National Basketball Association(NBA)」のスター選手 Jeremy Lin に便乗した標的型不正プログラム攻撃を報告しましたが、上述で紹介した 2つのメールによる感染フローでは、この攻撃と非常によく似たソーシャルエンジニアリングの手法が使われています。その他、過去にも類似した攻撃を紹介していますが、どの攻撃においても、Wordファイルの脆弱性を突き、情報収集型不正プログラムを作成しています。
・Trojanized .DOC Files in Targeted Attack
http://blog.trendmicro.com/trojanized-doc-files-in-targeted-attack/
・Trojanized Word Docs Used in Another Targeted Attack
http://blog.trendmicro.com/trojanized-word-docs-used-in-another-targeted-attack/
・トロイの木馬が埋め込まれたMicrosoft Wordファイルによるターゲット攻撃
/archives/1287
■メールの開封および添付ファイルのダウンロードには細心の注意を
もしこうしたメールを受け取った場合、ただちに削除してください。万が一添付ファイルをダウンロードするか開いてしまった場合、トレンドマイクロのサポートセンターへご連絡ください。こうした攻撃から守るための基本ルールは、身元不明の送信者からメールを受け取った場合、細心の注意を払うことです。添付ファイルを確認する場合は、さらなる慎重さが求められます。サイバー犯罪者は、メールアドレスを正規に見せかける偽装をするため、たとえ信用のおける送信者からのメールでも同様です。メールおよび添付ファイルの開封には細心の注意を払うことが必須となります。
トレンドマイクロでは、引き続きこうした攻撃を監視し、本ブログを通じて注意を促していきます。
※協力執筆者:Nart Villeneuve(Senior Threat Researcher)
参考記事:
by Ivan Macalintal (Threat Research Manager)