検索:
ホーム   »   不正プログラム   »   ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認

ゲーム会社への標的攻撃に使用された「WINNTI」ファミリ類似の亜種を確認

  • 投稿日:2013年5月17日
  • 脅威カテゴリ:不正プログラム, TrendLabs Report, Webからの脅威, 攻撃手法
  • 執筆:Research Engineer - Eduardo Altares II
0

「TrendLabs(トレンドラボ)」は、「WINNTI」ファミリと同様の技術によって作成され、さらに類似点も備えるバックドア型不正プログラムを確認しました。「WINNTI」ファミリは、主にオンラインゲーム開発会社などの民間企業に対する、標的攻撃で使用された不正プログラムファミリです。トレンドラボでは、今回確認された不正プログラムも、同様の標的型攻撃を目的としているものと考えています。

トレンドラボは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」から得たフィードバックにより、この特定の脅威を確認しました。弊社製品では、「BKDR_TENGO.A」として検出されます。この不正プログラムは、多くの「WINNTI」ファミリの検体が行うように、自身をコンピュータの正規 DLL ファイルである “winmm.dll” として偽装します。トレンドラボは、この DLL 偽装は、解析用正規ツールである、「Aheadlib」を利用して行われていると考えています。Aheadlib は、あらゆる DLL ファイルに対応し、C 言語で書かれたコードを構築し、オリジナルのライブラリによるすべての関数をフックする機能を備えています。不正プログラムの解析においては、大変便利なツールですが、正規のシステムライブラリを偽装するファイルの作成に悪用される可能性もあるツールです。

「BKDR_TENGO.A」のファイルは暗号化されていないにもかかわらず、その解析は非常に困難なものでした。この不正プログラムのメインとなる活動は、コンピュータに挿入された USB ドライブから、Microsoft Office のファイル や PDF ファイル、TIFF ファイルを収集することです。収集されたファイルは、フォルダ “<システムのルート(通常C:ドライブ)>\$NtUninstallKB080515$” に保存されます。またこの不正プログラムは、”Usblog_DXM.log” という名前のログファイルも作成します。このログファイルは、その後攻撃者によって取得される可能性があります。またこの他、この不正プログラムは、攻撃者がコンピュータの遠隔操作を可能にするようなさまざまなバックドアコマンドを備えています。

数あるコマンドのうち、「Help」および「MainInfo」というコマンドは、このバックドア型不正プログラムのファイル名、および利用しているコマンド&コントロール(C&C)サーバを表示させます。「BKDR_TENGO.A」が利用する C&C サーバの IP アドレスおよびサーバ名は、以下のとおりです。

  • <省略>.<省略>.204.62
  • <省略>.<省略>.145.118
  • <省略>.<省略>.216.249
  • <省略>.<省略>.10.239
  • <省略>.<省略>.102.244
  • <省略>.<省略>.103.42
  • <省略>.<省略>.128.124
  • <省略>.<省略>.255.201
  • <省略>02.<省略>z.info
  • <省略>i89.<省略>s.info
  • <省略>uit.<省略>z.info
  • これらの C&C サーバに対し、トレンドマイクロ製品ではすべてアクセスブロックの対応を完了しています。これらの IP アドレスのうち「<省略>.<省略>.204.62」および「<省略>.<省略>.145.118」は、特に興味深い事柄が判明しています。この2つの IP の所在地は米国ですが、多くの中国語のドメインがこれら2つの IP にマッピングされていました。

    トレンドラボは、「BKDR_TENGO.A」が、標的型攻撃で利用されたのではないかと考えています。標的型攻撃において使用される不正プログラムは、特別高度なものや精巧なものでなくとも、情報収集の目的達成が可能であることも示していると言えるでしょう。

    トレンドマイクロ製品をご利用のユーザは、Trend Micro Smart Protection Network によって守られています。「Webレピュテーション」技術により、この脅威に関連するすべての不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

    参考記事:

  • 「Backdoor Built With Aheadlib Used In Targeted Attacks?」
     by Eduardo Altares II (Threat Research Engineer)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Facebook上でバレンタインに便乗した攻撃、Chromeが標的か
    2. 改ざんされたWordPress使用のサイト、「Blackhole Exploit Kit」に誘導
    3. Facebookの個人宛メッセージやIMを介して感染活動を行うワームにご注意!
    4. 狙われ続ける「Facebook」ユーザ、パスワード取得目的のハッキングツールを確認


    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2021 Trend Micro Incorporated. All rights reserved.