トップ > 【日刊】マインクラフトPEのアドオンにマルウェア、Adobe Flashの脆弱性エクスプロイトを確認、LockyかTrickBotか?地理情報によって攻撃手法を変更ーー忙しい人のためのセキュリティニュース(2017/10/19)

【日刊】マインクラフトPEのアドオンにマルウェア、Adobe Flashの脆弱性エクスプロイトを確認、LockyかTrickBotか?地理情報によって攻撃手法を変更ーー忙しい人のためのセキュリティニュース(2017/10/19)

f:id:nanashi0x:20171020210458p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

マインクラフトPEのアドオンにマルウェア

Google Play Storeで、マインクラフトポケット・エディション(PE)のアドオンに見せかけたアプリに、Android用のマルウェアが仕組まれている事がSymantecによって発表された。

このアドオンは、「Assassins Skins for Minecraft」という名前で、マインクラフト上で自分が操作するキャラクターの服装を変更できる。

マルウェアの名前は、”Sockbot”という。以下、Sockbotの挙動について見ていきたい。

Sockbotの挙動について
  1. ユーザーが「Assassins Skins for Android」をインストールし、ユーザーがアプリにパーミッションを与える。
  2. 着せかえアドオンとして機能する裏で、ポート9001番を開き、攻撃者が用意したC&Cサーバーに接続する。
  3. C&Cサーバーが被害者のアプリに対して、通信用ソケットを開け、特定のIPアドレスからの接続を待つようにリクエストする。
  4. 被害者のアプリは、特定のIPアドレスから任意のポートを通して攻撃者の用意したサーバーに接続する。
  5. 攻撃者の用意したサーバーから、広告のリストと、広告のメタデータ(広告タイプ、画面サイズ、端末名等)を取得する。
  6. 攻撃者の用意したサーバーに接続し、広告表示リクエストをする。(広告自体は表示されない。)

(※尚、このプロセスはSOCKSというProxyメカニズムと同じステップを踏む。→SOCKSとは?

また、Sockbotは、FunBasterと名乗る人物によって開発したとされている。

FunBasterは、Sockbotに含まれる悪意のあるコードやデータ型などは暗号化処理を行い、それぞれのアプリに対して違う開発者キーを使用している為、静的ヒューリスティック分析にも引っかからない。

そのことから、Google Playの自動マルウェアチェックには検知しなかったようだ。

Symantec社は、GoogleにSockbotに関する通知を行い、10月6日時点でGoogle Play StoreからAssassins Skins for Minecraftは削除された。

最近Android端末のコスパが良いので、iPhoneとの差は無くなってきました。ですが、やはりソフトウェア面で若干の差が出ているように感じます。Goole Play Storeはアプリ開発者が気軽にアプリを登録できる反面、セキュリティに不安がありますよね。私はAndroidiOSの両方使っているのですが、未だにUXではiOSの方が好きです。

Reference

Adobe Flash脆弱性エクスプロイトを確認

Proofpointのセキュリティリサーチャーは、10月18日、Adobe Flash Playerの脆弱性(CVE-2017-11292)をエクスプロイトした攻撃が発生した事を確認した。

Proofpointはこの攻撃は、ロシア政府と関係の深いクラッカー集団のAPT28(又はSofacy)によって行われた推測している。

攻撃のタイムライン
  • 10月16日: AdobeがCVE-2017-11292をのパッチを公開
  • 10月18日: APT28による攻撃を確認

当ブログでも紹介したように10月16日にパッチが公開された脆弱性なのだが、Adobeがパッチを公開してからAPT28によって攻撃が行われるまで2日しか経っていない。

当初のKaspersky Labsの公表によれば、このエクスプロイトは別のクラッカー集団・BlackOasisによるものだと推測されていた。

しかし今回の攻撃の仕方やコードの”癖”等から、ProofpointはAPT28である可能性が高いと推測している。

APT28が、BlackOasisから購入したか、リバースエンジニアリングしたか、それともオリジナルで作成したどうかは未だ明らかになっていない。

この記事の編集者であるKafeine氏は、最後で以下のように伝えている。

本件でも分かる通りAPT28はかなり早く攻撃に動いている事がわかる。Flashが多くのインターネットユーザーに使用されている為、CVE-2017-11292を突いた攻撃は更にその激しさを増すだろう。APT28は洗練された”政府直轄のクラッカー集団”の為、他国の政府や大企業のシステムを狙って攻撃してくる可能性が高い。今後は、APT28の手法を使って、他のクラッカー集団が更に大規模な攻撃を仕掛けてくる可能性がある。Adobe Flashを使用しているユーザーは直ちにアップデートを行なってもらいたい。

--Kafeine, Pierre T. in Proofpont

Adobeが行なったパッチの対象製品、ターゲットについては当ブログの過去記事をご覧ください。

Reference【日刊】忙しい人のためのセキュリティニュース(2017/10/16) 先週のうちにマイクロソフト社がKRACKをこっそりパッチ、AdobeFlashPlayerのゼロデイ脆弱性にAdobeが対処

LockyかTrickBotか?地理情報によって攻撃手法を変更

フィッシングキャンペーンを使って、LockyかTrickbotのどちらかをインストールさせるのか、地理情報を取得して判別している手法がある事を伝えている。

地理情報によってランサムウェアの種類を分ける事で、多国籍企業のセキュリティ担当者は、インシデントレスポンスの手法を地域によって分けなければならない負担を強いられるのだ。

フィッシングキャンペーンは、主に9月28日と10月11日に確認された。

以下に、その2日間の様子についてまとめておく。

 

9月28日: フィッシングキャンペーン第一弾

この日のフィッシングキャンペーンでは、バンキングトロイのTrickBotが拡散されたのはオーストラリア、ベルギー、アイルランドルクセンブルク、イギリスの5カ国だった。一方他の国々に対しては、Lockyランサムウェアが拡散された。

フィッシングメールには、.7z形式のアーカイブファイルが添付されており、VBスクリプトで書かれたアプリケーションによって、LockyかTrickBotのいずれかをダウンロードさせた。

VBスクリプトには、ターゲット端末からC&Cサーバーにアクセスする際、最初の3つのクエリを受けるWebサーバーのIPアドレスを取得した。そうする事でターゲットがどの国に属しているかわかるのだ。

 

10月8日: フィッシングキャンペーン第二弾

この日は、9月28日に行われたキャンペーンより洗練されていた。

まずVBスクリプトは、POSTリクエストをC&Cサーバーに送信。

その目的は、感染成功を伝える他に、ペイロードのURL、端末のWindowsバージョンと端末固有の識別番号を送信する為だ。

更に攻撃者は、VBスクリプトの中で使われているファンクションの名前にポップカルチャーで使われるセリフ等を使用したという。この記事で紹介されているのは、横スクロールのゲーム・Cobaltのセリフ”This was likely an attempt to defeat heuristic scanning of the code(これはコードのヒューリスティック・スキャンを打ち破る為の試みなんだ)”というセリフだ。

そして、ダウンロードされたLockyが開かれると、表向きではCanonのPageComposerというプログラムを起動したかのように思わせ、裏では”.asasin”という拡張子でターゲット端末のファイルを暗号化する。

暗号化が終わり次第、ランサムウェアおなじみの振込方法などが書かれたメッセージを表示し、身代金をターゲットから回収する。

この攻撃者は、もっと前にLockyを使って攻撃した際は、人気のドラマ”Game Of Thrones”から引用したセリフがコードに含まれていたようです。遊び心があるというのはハッカーらしいですよね。
Reference

マクロに変わる新たなMSワードのエクスプロイト方法とは

Ursnifというトロイの木馬によって、新しいマクロ戦術が明らかになった。

通常マクロウイルスの手順として、ターゲットがWordドキュメントを開いた瞬間に、マクロの実行を強制的に実行させる(又は促す)のが一般的な手順だった。

しかし、Wordもデフォルトではマクロを実行しない設定を実装しており、マクロウイルスの注意喚起も進んだことで被害が減ってきている。

その事に目をつけた攻撃者達は、ワードを閉じた瞬間にPowerShellのコードが実行されるように細工をしているのだ。”囮”となるマクロウイルスを警戒させて、ドキュメントを閉じた瞬間に”本命”であるPowerShellコードを実行し、悪意のあるコードを含むペイロードをダウンロードする。

「緊張がほぐれた瞬間が一番つけ入りやすい」というのはサスペンスドラマでもよく見る常套手段です。この心理を利用した攻撃手法なのでしょう。Windows10では既にPowerShellコードを検知する機能が実装されているようですね。

Reference

その他のセキュリティニュース

セキュリティ業界では毎日いくつものニュースが配信されています。

今回の記事では紹介しきれなかった記事も多くありますので、以下ではニュースのタイトルとリンクを貼っておきます。

マルウェア脆弱性」に関するニュース

Ciscoが自社製品のHigh以上にランクされた脆弱性をパッチした。

ブラックベリー脆弱性をパッチした。

→中国と強い関係を持つサイバー攻撃グループが、スパイキャンペーンを仕掛けている模様。

→Elmedia Player SOftwareがトロイの木馬として配布されていた事が明らかに。サプライチェーンが攻撃者によって細工されていた。

→Lockyランサムウェアの新しい亜種が発見された。

Adobe Flash脆弱性を使ってエクスプロイトしようとする人達が増加している。

→Linksysの製品にはパッチがされない。

Google社はこれまで、MS社製品のバグを発見して指摘してきた。今回は逆で、マイクロソフト社がGoogleに対してバグを指摘した。

「インシデント・情報漏えい」に関するニュース

AppleWatch Series3の内部で使われているeSIMが、中国のモバイルネットワークでバグを起こしているようだ。

中国は、自国内で使われる全てのSIMカードを管理下に置いていて、それぞれに使用者の名前などのデータを紐付けている。

しかしApple Watch Series3にはAppleがeSIM(論理的なSIMカード)を埋め込んでいる為、中国の管理下に置かれていない。そのことから、中国ネットワークと接続する際にバグを生じているのだという。