Trojan.Pandex - 新たなスパム活動

寄稿: Lionel Payet

先週、W32.Waledacが W32.Virutと共存している現状をお伝えしましたが、Trojan.Pandex（別名 Cutwail）など他のスパムボットネットも、依然として拡散の試みを続けていることを忘れてはなりません。

W32.Cridexを操る攻撃者は、さまざまな攻撃経路を使ってマルウェアを拡散しています。たとえば Blackhole 悪用ツールキットを利用する、細工された PDF 文書でユーザーを欺こうとするなどの手口がありますが、今月に入ってさらに手の込んだ攻撃を仕掛けるようになりました。

攻撃者は、正規の Web サイトに侵入し、そこで悪質な HTML ファイルをホストすることに成功しています。この HTML ファイルによってユーザーが Blackhole 悪用ツールキットにリダイレクトされると、侵入先のコンピュータに W32.Cridex がダウンロードされます。では、攻撃者はどのようにユーザーを欺こうとしたのでしょうか。ここに登場するのがボットネットです。

Pandex ボットネット、別名 Cutwail あるいは Pushdo は、新しい脅威ではありません。最初に活動が確認されてから 6 年以上が経過しており、全世界で毎日シマンテック製品が検出するスパムメールのうち、およそ 18 パーセントを占めています。スパムを送信するだけでなく、侵入先のコンピュータから電子メールアドレスを収集する機能も持っており、それが今後の活動に利用されることになります。シマンテックは、この脅威に対していくつかの検出定義を用意しています。

• Trojan.Pandex
• Trojan.Pandex!gen1
• Trojan.Pandex!gen2

遠隔測定の結果、この脅威の分布を次の図のように推測しています。
 

図 1. Trojan.Pandex スパムの拡散状況を示す分布図
 

W32.Cridex の攻撃経路

W32.Cridex がコンピュータに侵入して感染する経緯は、以下の図のとおりです。
 

図 2. W32.Cridex の攻撃経路
 

Trojan.Pandex に感染したコンピュータは、次のような電子メールを送信します。
 

図 3. Trojan.Pandex が送信する電子メールのサンプル
 

ユーザーがリンクをクリックすると、judiciary.go.ke にホストされている悪質な HTML ファイルにアクセスし、そこからさらに以下の悪質な URL にリダイレクトされます。

• dfudont.ru:8080/[削除済み]/column.php

このドメインは、以下の場所に解決されます。

• 212.112.[削除済み] （ドイツ）
• 89.111.[削除済み] （ロシア連邦）
• 91.224.[削除済み] （リトアニア）

シマンテックは Blackhole v2 悪用ツールキットに対して多くの IPS 検出を定義しており、遠隔測定データによって悪質な URL から以下のシグネチャを検出しました。

• Web Attack: Blackhole Exploit Kit Website 8
• Web Attack: Blackhole Exploit Kit
• Web Attack: Blackhole Functions
• Web Attack: Blackhole Toolkit Website 20
• Web Attack: Blackhole Toolkit Website 31

これらの脅威が検出された分布状況は、以下の図のとおりです。
 

図 4. Blackhole 悪用ツールキットに関連する IPS 検出の分布状況
 

Blackhole 悪用ツールキットによる攻撃が成功すると、W32.Cridex が侵入先のコンピュータにダウンロードされます。シマンテックは、以下の検出定義を用意しています。

• W32.Cridex
• W32.Cridex!gen1

このワームはコマンド & コントロール（C&C）サーバーと通信し、C&C サーバーとの間でファイルのダウンロードとアップロードを行い、侵入先のコンピュータでファイルを実行するので、ユーザーは新たなマルウェアの攻撃を受ける恐れがあります。

解析の時点では、以下の C&C サーバーが使われていました。

• 140.123.[削除済み]:8080      
• 182.237.[削除済み]:8080     
• 220.86.[削除済み]:8080       
• 221.143.[削除済み]:8080       
• 64.85.[削除済み]:8080       
• 163.23.[削除済み]:8080      
• 210.56.[削除済み]:8080      
• 173.245.[削除済み]:8080      
• 173.201.[削除済み]:8080     
• 203.217.[削除済み]:8080     
• 97.74.[削除済み]:8080      
• 62.28.[削除済み]:8080      
• 69.64.[削除済み]:8080        
• 38.99.[削除済み]:8080       
• 174.142.[削除済み]:8080     
• 78.28.[削除済み]:8080       
• 88.119.[削除済み]:8080      
• 188.117.[削除済み]:8080     
• 217.65.[削除済み]:8080
• 188.165.[削除済み]:8080   

解析の結果、シマンテックは Dynamoo による発見を確認することができました。また、感染したサーバーに情報が通知され悪質なファイルが削除されたことも確認しています。

お使いのオペレーティングシステムとソフトウェアが最新版であることを確認してください。また、インターネットを閲覧したりメールをチェックしたりするときには、疑わしいリンクをクリックしないようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。