攻撃者は、企業や政府関連組織を狙う標的型攻撃と思われる攻撃において、再び休暇シーズンのトピックを利用しているようです。「TrendLabs(トレンドラボ)」では、”PROPOSED CHRISTMAS PARTY 2012.doc” というファイル名を持つ検体を確認しました。トレンドマイクロの製品では、このファイルを「TROJ_ARTIEF.RTN」として検出します。この不正プログラムは、実行されると、受信者に正規の文書ファイルであるように思わせる偽ファイルとして ”temp.doc” を作成します。トレンドラボが確認したこの文書ファイルの内容は、まるで特定の政府関係組織の次回クリスマスパーティの招待状であるように見えます。
また、「TROJ_ARTIEF.RTN」は、Microsoft のセキュリティ情報「MS12-027:Windows コモン コントロールの脆弱性により、リモートでコードが実行される(2664258)」を利用し、トレンドマイクロの製品では「BKDR_GAMFRIC.A」として検出されるバックドア型不正プログラムを作成します。この「BKDR_GAMFRIC.A」は、感染コンピュータ上で実行されると、コマンド&コントロール(C&C)サーバ「http://<省略>ws-google.net」に接続します。また、この不正プログラムは、以下のコマンドを実行して、他のファイルのダウンロードおよび実行や、システム情報収集といった不正活動をします。
このバックドア型不正プログラムは、また、不正コードを組み込むために、使用されている Webブラウザを確認し、隠しプロセスを作成します。トレンドラボは、この攻撃において、標的とする組織のネットワークに侵入するための手段として、Eメールを利用すると推測します。トレンドマイクロでは、大企業向けにデータ管理上のセキュリティをわかりやすく解説したプライマー「Covert Arrivals: Email’s Role in APT Campaigns(英語版)」において、攻撃者が持続的標的型攻撃や標的型攻撃の侵入経路のひとつとして、Eメールをどのように利用しているのか説明しています。これらの Eメールのメッセージでは、ユーザを導くためにソーシャルエンジニアリングの手法を利用していました。今回の事例では、攻撃者はクリスマスや年に一度のクリスマスパーティのトピックを悪用しています。トレンドラボでは、現在、この脅威の展開を監視し続けています。
これまでにトレンドラボが報告した、休暇シーズンをトピックとして悪用したさまざまな事例については、以下の記事を参照してください。
・Christmas Theme for Facebook Profile Leads to Malspam
http://blog.trendmicro.com/trendlabs-security-intelligence/christmas-theme-for-facebook-profile-leads-to-malspam/
・Merry Christmas, ZeuS
http://blog.trendmicro.com/trendlabs-security-intelligence/merry-christmas-zeus/
・Old ZeuS Variant Returns for Christmas
http://blog.trendmicro.com/trendlabs-security-intelligence/old-zeus-variant-returns-for-christmas/
・With Holiday Wishes Come Poisoned Searches
http://blog.trendmicro.com/trendlabs-security-intelligence/with-holiday-wishes-come-poisoned-searches/
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連する不正なファイルを検出します。
参考記事:
by Bernadette Irinco (Technical Communications)
翻訳:太田 真理(Core Technology Marketing, TrendLabs)