MERSのニュースに便乗、日本のメディア企業を狙う標的型サイバー攻撃を確認
「中東呼吸器症候群(MERS)」の発生に関連するニュースに便乗して、日本の大手メディア企業の社員に標的型メールを送信した標的型サイバー攻撃が確認されました。
「中東呼吸器症候群(MERS)」の発生に関連するニュースに便乗して、日本の大手メディア企業の社員に標的型メールを送信した標的型サイバー攻撃が確認されました。攻撃者は、Yahoo!メールの無料アカウントを利用してセキュリティ対策製品を容易に回避し、インターネット上で公開されている話題をEメールのヘッダや添付されたファイル名に利用して、受信者にEメールを開封させようとしました。図1は日本のメディア企業の社員に送信された標的型メールです。件名は「Fw:中東呼吸器症候群(MERS)の予防」、添付ファイルは「中東呼吸器症候群(MERS)の予防.7z」となっています。
問題の標的型メールには、CHMファイルを含む圧縮ファイルが添付されています(「CHM_ZXSHELL.B」として検出)。CHMファイルは、Microsoftのオンライン・ヘルプ・ファイル形式です。このファイルにより、人気の情報サイトからMERSに関連するWebページが表示されます。しかし実際には、裏でバックドア型不正プログラムがダウンロードされるようプログラムされていました。「ZXSHELL」は、標的型サイバー攻撃で頻繁に利用されるバックドア型不正プログラムです。
今回の攻撃は、「WINNTI」によって実行された攻撃とさまざまな点で類似しています。「WINNTI」は、不正プログラム「WINNTI」ファミリと直接関連のあるオンラインビデオゲーム産業を狙った標的型サイバー攻撃で古くから知られている攻撃者グループです。
弊社では、この攻撃を明らかにする証拠についてさらに調査を進めています。
弊社は、メデイアやエンターテイメント企業がネットワーク上に保存していると思われる大量の個人情報が、攻撃者がこうした企業を狙う動機だと考えています。Sony Picturesの侵害事例では、攻撃者は社員の個人情報を窃取しただけでなく、未公開映画の動画を窃取したり、同社役員の給与明細を流出させました。また、メデイアやエンターテイメント企業は、プロパガンダを伝える代弁者として利用するために狙われることもあります。仏テレビネットワーク「TV5Monde」を狙ったサイバー攻撃では、「イラクとレバントのイスラム国」のプロパガンダを伝える媒体ともなりました。
今回の攻撃では、CHMファイルはバックドア型不正プログラム「ZXSHELL」を作成します(「BKDR_ZXSHELL.B」として検出)。このバックドア型不正プログラムは感染PCに常駐し、攻撃者から送信されるコマンドを実行するために待機します。また、侵入したネットワーク内の個人情報を検索するために利用される可能性もあります。
サイバー犯罪で脅威を拡散したり、標的型サイバー攻撃を実行するために、CHMファイルの利用は、着実に攻撃者に好まれる手法になってきています。組み込まれた不正なコードが実行されない限り、CHMファイルは正規のファイルであるため、容易にWindowsのセキュリティ対策を回避できます。
不正活動のためにCHMファイルを利用することは目新しいものではありません。最近では、ファイルを暗号化して身代金を要求するCryptoランサムウェア「CryptoWall」がPCに感染するためにCHMファイルを利用しました。しかし、標的型サイバー攻撃での利用はほとんどありません。なお、バックドア型不正プログラム「ZXSHELL」は、Microsoft Officeや日本語ワープロソフト「一太郎」に存在する脆弱性を利用して作成されます。しかし、今回の攻撃で、CHMファイルを利用することにより、脆弱性を利用した攻撃を実行せずに「ZXSHELL」を用いて標的としたPCに感染し検出を回避する、もう1つの手法が攻撃者によって提示されました。ユーザは、エクスプロイトコードが埋め込まれた不正なWebサイトにアクセスしないよう慎重になりますが、Eメールで送信されたヘルプファイルには注意を払わないかもしれません。
トレンドマイクロの対策
トレンドマイクロの製品は、今回の脅威に関連するすべての不正なファイルを検出します。特に、「カスタムディフェンス」は、不正なコードを実行するために利用されたCHMファイルのような不審な挙動を特定し、こうした攻撃からユーザを保護します。
また、弊社のネットワーク挙動監視ソリューション「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、ヒューリスティック検索により不正なCHMファイルを検出します。検出を回避するために攻撃者がファイルを難読化したとしても、「Deep Discovery」のスマートサンドボックスによって、スクリプトやシェルコード、また不正プログラムによる挙動をフィルタし、未知の脅威から保護します。
以下は、今回の脅威に関連するハッシュ値です。
- e6cc91c0358db79048fce805fae90f9023f789f7
- 855bb7e85353fb78c089ef44cc24ce832dd4feaf
- 3c5329b36ffd13b83679c848a4797f8eeffef521
- 7e9b6575c672be0ffba7f647ba59d979a2843e4d
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)