脆弱性を突く文書ファイルの「ひな形」、複数の標的型攻撃で確認

標的とした人物に関係のありそうな Eメールの送信は、標的型攻撃で用いられる最も一般的なソーシャルエンジニアリングの手口の 1つです。Eメールは、いまだにビジネスにおいて主要な連絡手段であり、ネットワークに潜入するための攻撃手段として頻繁に利用されます。その結果、標的型攻撃を次の段階へ進ませることになります。

トレンドマイクロが監視している標的型攻撃の 1つでは、攻撃者は、ラオスの副首相が死亡した飛行機墜落事故のニュースを利用しました。この Eメールは、「BREAKING: Plane Crash in Laos Kills Top Government Officials(速報:ラオスの航空機事故で政府高官らが死亡)」といった件名を利用しています。また、この Eメールには、ユーザを惹きつけるために、この墜落事故のニュース記事とされる文書ファイルが添付されていました。さらに、メールヘッダの宛先欄に記載されてある実際の受信者を隠していたことも確認しています。攻撃者は、Yahoo! の Eメールアドレスを利用し、標的とした Eメールアドレスを隠ぺいしていました。これは古くからある手法ですが、弊社が分析した他の標的型攻撃に関連する事例でも、頻繁にこの手法を確認しています。

この Eメールの添付ファイルは、2つの無害な画像ファイル(拡張子 JPG)と 1つの圧縮ファイルです。この圧縮ファイルは、いくつかの事例で、「TROJ_MDROP.TRX」として検出される不正プログラムを含んでいました。この不正プログラムが実行されると、脆弱性「CVE-2012-0158」を利用した攻撃を行います。この脆弱性は、Microsoft が 2012年に公開したセキュリティ情報「MS12-027」で、すでにパッチが提供されているにも関わらず、過去にいくつかの攻撃で利用されています。弊社の情報によると、「CVE-2012-0158」は、2013年下半期に標的型攻撃で最も多く利用された脆弱性となっています。

図1:標的型攻撃で最も多く利用された脆弱性
図1:標的型攻撃で最も多く利用された脆弱性

攻撃者は通常、古い脆弱性を利用します。このことを考慮すると、これまで何度も述べてきましたが、今回の攻撃でも、最新のセキュリティアップデートを使用してパッチの適用や PC の更新を行うことの重要性が浮き彫りになりました。この脆弱性が利用されると、問題の不正プログラムは、「BKDR_FARFLI」ファミリの亜種であるバックドア型不正プログラムを作成します。この不正プログラムは、以下の情報収集を含む複数のコマンドを実行します。

  • プロセッサおよび PC の設計情報
  • PC名およびユーザ名
  • ネットワーク情報
  • プロキシ設定

また、この不正プログラムは、以下のコマンド&コントロール(C&C)サーバを利用します。このうちの 1つは、香港のサーバです。

  • <省略>injia.vicp.net (<省略>.<省略>.68.135)
  • <省略>p-asean.vicp.net (<省略>.<省略>.68.135)

標的型攻撃における「情報送出」の段階では、ポート443 (SSL) を介し、HTTP POSTリクエストを利用することでネットワーク検出を回避します。これにより、IT管理者に気付かれずにネットワーク外部へ情報を送出することが可能になります。

ここで注目すべきは、この標的型攻撃で用いられた不正な文書ファイルを利用した攻撃が、キャンペーン「HORSMY」、「ESILE」、「FARFLI」といった他の標的型攻撃でも確認されていることです。なお、キャンペーン「ESILE」では、アジア太平洋の政府関連機関が標的とされました。

攻撃者は、この標的型攻撃で用いられた不正な文書ファイルの「ひな形」を、目的とする不正活動によって変更を加え利用していました。今回の標的型攻撃の背後にいる攻撃者は、この「ひな形」をアンダーグラウンドで配布したり、販売することが可能だったと推測されます。これにより、不正な文書ファイルを用いる攻撃が他の標的型攻撃でも利用された理由が説明できます。弊社の調査によると、アジア系の名前を持つ人物が今回の標的型攻撃の背後にいるか、もしくはこの標的型攻撃で用いられた「TROJ_MDROP.TRX」として検出される不正な文書ファイルの「ひな形」を最初に作成した人物であると考えられています。

標的型攻撃の検出は容易ではありませんが、機密情報にもたらす危険は、高度なセキュリティ対策製品を使用することで防ぐことができます。トレンドマイクロでは、企業を標的型攻撃から保護するために、ネットワーク監視ソリューション製品「Trend Micro Deep Discovery」を提供し、不正プログラムや C&Cサーバとの通信、潜在化した攻撃を検出対応します。

※協力執筆者:Maria Manly

参考記事:

  • Template Document Exploit Found in Several Targeted Attacks
    by Maersk Menrige (Threats Analyst)

    •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 標的型サイバー攻撃に見られる新旧の脆弱性
    2. 潜在する脅威の顕在化-2015年以降の脅威を予測
    3. 特権が昇格されるKerberosに存在する脆弱性、更新プログラムが公開