Email Ops 2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。この電子メールでは、実在するIPAの職員(組織幹部)の名前を詐称し、連絡網の送付という、受信者が添付ファイルを開く動機を強く与える文面でした。また、この標的型攻撃メールはフリーメールから送信されていました。ここでは、19件の中から2012/07/19 14:25:55に部門外部受付メーリングリストで受信したメールを取り上げます。(注：XXXXは伏字です) Receive XXXX@ipa.go.jp Fwd: 事務系連絡網(2012.07.19) 2012-07-19T05:25:55Z 各位 2012.07.19版の事務系職員連絡網について、 別添のとおりお送りいたします。 情報処理推進機構 XXXX XXXX XXXX -------------------------------------------------- Returned 標的型攻撃メールの添付ファイル名は、「事務系連絡網.zip」という、メール本文に関係深い日本語が使われていました。なお、このZIPファイルはパスワード無しで解凍可能でした。 事務系連絡網.zip .zip 326941 MD5 40d56443238046a0fbc7f8b30ee04f42 SHA1 3e094f93b8075f1310ed3360d486897516b032ff Contained_Within Compressed File Ops (CRUD) 今回、IPAでは安全な検証環境を使って添付ファイルを解凍し、内容を確認しました。ZIPファイルの内容は業務で利用することの多いMicrosoft Wordの文書ファイルを思わせるアイコンでしたが、実際の拡張子がexeの実行ファイルでした。また、この不審なファイルに対してファイルハッシュ値を算出し、一般に公開されているウイルス情報サイトで調べてみたところ、登録されていませんでした。これは標的型攻撃メールを受信した時点では、多くのセキュリティ対策ソフトで既知のウイルスとして検出されないことを示すものでした。 Open 事務系連絡網.exe .exe 675915 MD5 7546277185a237cbd5d3558032112b39 SHA1 4a913eeac630c6607b1a25a3ea31e42d88d9859c Compressed_By Affected File Ops (CRUD) 不審なexeファイル(事務系連絡網.exe)を実行すると同じフォルダに、隠しファイル(cserss.exe)が作成されました。 Create cserss.exe .exe 61481 MD5 a09910b62aaf1e92e02a278469e8c4a3 SHA1 668ff9bbf36a0112bd235610982d7e9bc8cd83b0 Created_By Affected Registry Ops 不審なexeファイル(事務系連絡網.exe)を実行すると、起動時に自動実行するために、レジストリに値が書き込まれました。 Create \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE printfjava cserss.exe REG_SZ Created_By Affected App Layer Traffic 隠しファイル(cserss.exe)が起動され、インターネットエクスプローラ(iexplorer.exe)に寄生し、自身は終了しました。その後、tw.####.com(IPアドレス：AAA.AAA.1.114)、hk.####.com(IPアドレス：BBB.BBB.118.33)のポート番号443/TCPへの接続が試みられました。(注：####、AAA、BBBは伏字です) Connect Initiating Utilized Utilized tw.####.com(IPアドレス：AAA.AAA.1.114) AAA.AAA.1.114 tw.####.com(IPアドレス：AAA.AAA.1.114) tw.####.com Resolved_To Listened_On_By hk.####.com(IPアドレス：BBB.BBB.118.33) BBB.BBB.118.33 hk.####.com(IPアドレス：BBB.BBB.118.33) hk.####.com Resolved_To Listened_On_By 接続先ポート番号443/TCP 443 TCP Listened_On Listened_On