2013年9月5日および 6日、 20カ国・地域(G20)首脳会合がロシアのサンクトペテルブルクで開催されますが、この会合に便乗した Eメールが複数確認されており、一般ユーザだけでなく、特定の団体をも狙っています。トレンドマイクロは、同年 9月初め、この G20に便乗した Eメールを確認しました。
問題の Eメールは、G20の会合企画チームからのメールを装い、「サミット開催前の集会」に言及しています。
|
この Eメールは、RAR形式の圧縮ファイルが添付され送信されます。この圧縮ファイルの中には、ショートカットファイル(拡張子 LNK)が 1つと、その他 2つのバイナリファイルの合計 3つのファイルが含まれています。トレンドマイクロの解析の結果、これら 2つのバイナリファイルは、実際は 2つに分割された 1つのファイルであることが確認されました。これらのファイルは、有効なファイルとして認識されないため、脅威や危険性を引き起こすものには見えないかもしれません。
この LNKファイルは、単純なショートカットファイルではありません。2つのバイナリファイルを「BKDR_SISPROC.A」として検出される 1つのファイルへと再編成し、それを実行するカスタムのコマンドを含んでいます。「BKDR_SISPROC.A」は、バックドア活動として、自身のリモートサーバと通信し、不正なコマンドを感染 PC上で実行します。
さらに重要なことに、このバックドア型不正プログラムは、スクリーンショットやキー入力操作などのさまざまな情報を収集するプラグインをダウンロードします。ファイルではなく、プラグインを利用することは、検出の回避においていくつかの利点があります。このプラグインは、「BKDR_PLUGX」と同様に、実行するために完全に有効なファイルである必要はありません。また、不正プログラム自身のメモリ領域内で読み込まれるので、新たな処理が発生しません。そしてほとんどの場合、プラグインは、ファイル全体に比べ大きな容量を必要としません。
総体的にいえば、今回の攻撃において確認された手法は、新しいものではありません。しかしながら、今年弊社が発表した「2013年におけるセキュリティ予測」および「2013年第 2四半期セキュリティラウンドアップ」において言及したように、攻撃者たちは、どのようにして検出を回避し脅威を拡散するのかの改良に余念がありません。バイナリファイルを 2つのファイルへ分割する今回の手法は、検出を避けながら攻撃を継続する試みが進行中であることを明確に表しています。
スパムメールは、ソーシャルエンジニアリングの罠を利用し、時宜にかなった関連性のある話題に便乗します。そのため、「どのように不正な行為を見分けるか」といったセキュリティに関する教育を社員に徹底することは、特に企業にとって価値があります。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Lenart Bermejo (Senior Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)