寄稿: Joseph Bingham
数週間前にシマンテックは、航空宇宙/防衛産業に属するグループを標的にしたスピア型フィッシング攻撃の急増を確認しました。この攻撃で狙われた組織は少なくとも 12 を数え、航空機メーカー、航空管制局、政府、軍事企業などが含まれています。
図 1.航空宇宙/防衛産業を標的にしたスピア型フィッシングメール
攻撃者は、標的を選ぶ際に取締役や副社長といった要職にある個人を特定しています。電子メールの内容はいずれも同一で、航空宇宙/防衛産業の展望に関して 2012 年に発行されたレポートがエサとして利用されています。これは、元の電子メールがこのレポートを作成した企業から送られてきたように見せかけるためです。また、社内の従業員によって、あるいは対象となる産業に属する関係者から転送されたように思わせる工夫もされていました。
この電子メールに添付されている悪質な PDF ファイルを開くと、Adobe Reader の 'SWF' ファイルに存在するリモートメモリ破損の脆弱性(CVE-2011-0611)の悪用が試みられます。悪用に成功すると、悪質なファイルだけでなく、成功率を高めるために正常な PDF ファイルも一緒に投下されます。
図 2.ユーザーに表示される正常な PDF ファイル
投下される正常な PDF ファイルは業界レポートで、これはエサと考えられますが、不思議なことに攻撃者はわざわざこれに手を加えてブランド情報を削除しています。
正常な PDF ファイルの裏では、svchost.exe ファイルの悪質なバージョンが投下されます。このファイルが悪質なバージョンの ntshrui.dll を Windows ディレクトリに投下します。この脅威で使われているのが、DLL 検索順乗っ取りとして知られる手口です(ntshrui.dll は KnownDLLによって保護されていません)。svchost.exe ファイルが explorer.exe ファイルを呼び出すと、explorer.exe は Windows システムディレクトリにある正規の ntshrui.dll ではなく、Windows フォルダにある悪質な ntshrui.dll ファイルをロードします。シマンテックは、この svchost.exe ファイルと ntshrui.dll ファイルをどちらも Backdoor.Barkioforkとして検出します。
このバージョンの Backdoor.Barikiofork には、以下の機能があります。
- ディスクドライバを列挙する。
- osamu.update.ikwb.com にあるコマンド & コントロール(C&C)サーバーにアクセスする。
- システム情報を盗み出す。
- 後続の更新ファイルをダウンロードして実行する。
今回見つかったスピア型フィッシング攻撃から、攻撃者が高度な知識と組織力を備えていること、特に標的を誘うのにどのようなソーシャルエンジニアリングが最適かという情報の収集に長けていることが、いっそう明らかになりました。
各企業の皆様は、電子メールに関して万全のセキュリティ対策を講じるとともに、パッチ管理についても改めて見直してください。今回悪用された脆弱性に対しては、2011 年にすでにパッチが公開されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。