IPAの職員を詐称し短時間に大量に IPAに標的型攻撃メールが送られた Campaign Characterization IPA に届いた、IPA の職員を詐称した標的型攻撃メールの分析を行いました。 //node() Email Ops 2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。 この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。 この電子メールでは、実在するIPAの職員(組織幹部)の名前を詐称し、連絡網の送付という、 受信者が添付ファイルを開く動機を強く与える文面でした。 また、この標的型攻撃メールはフリーメールから送信されていました。 ここでは、19件の中から2012/07/19 14:25:55に部門外部受付メーリングリストで受信したメールを取り上げます。 (注：XXXXは伏字です) Receive XXXX@ipa.go.jp Fwd: 事務系連絡網(2012.07.19) 2012-07-19T05:25:55Z 各位 2012.07.19版の事務系職員連絡網について、 別添のとおりお送りいたします。 情報処理推進機構 XXXX XXXX XXXX -------------------------------------------------- Returned 標的型攻撃メールの添付ファイル名は、「事務系連絡網.zip」という、メール本文に関係深い日本語が使われていました。 なお、このZIPファイルはパスワード無しで解凍可能でした。 事務系連絡網.zip .zip 326941 MD5 40d56443238046a0fbc7f8b30ee04f42 SHA1 3e094f93b8075f1310ed3360d486897516b032ff Contained_Within Compressed File Ops (CRUD) 今回、IPAでは安全な検証環境を使って添付ファイルを解凍し、内容を確認しました。 ZIPファイルの内容は業務で利用することの多いMicrosoft Wordの文書ファイルを思わせるアイコンでしたが、 実際の拡張子がexeの実行ファイルでした。また、この不審なファイルに対してファイルハッシュ値を算出し、 一般に公開されているウイルス情報サイトで調べてみたところ、登録されていませんでした。 これは標的型攻撃メールを受信した時点では、多くのセキュリティ対策ソフトで 既知のウイルスとして検出されないことを示すものでした。 Open 事務系連絡網.exe .exe 675915 MD5 7546277185a237cbd5d3558032112b39 SHA1 4a913eeac630c6607b1a25a3ea31e42d88d9859c Compressed_By Affected File Ops (CRUD) 不審なexeファイル(事務系連絡網.exe)を実行すると同じフォルダに、隠しファイル(cserss.exe)が作成されました。 Create cserss.exe .exe 61481 MD5 a09910b62aaf1e92e02a278469e8c4a3 SHA1 668ff9bbf36a0112bd235610982d7e9bc8cd83b0 Created_By Affected Registry Ops 不審なexeファイル(事務系連絡網.exe)を実行すると、起動時に自動実行するために、レジストリに値が書き込まれました。 Create \Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE printfjava cserss.exe REG_SZ Created_By Affected App Layer Traffic 隠しファイル(cserss.exe)が起動され、インターネットエクスプローラ(iexplorer.exe)に寄生し、自身は終了しました。 その後、tw.####.com(IPアドレス：AAA.AAA.1.114)、hk.####.com(IPアドレス：BBB.BBB.118.33)の ポート番号443/TCPへの接続が試みられました。(注：####、AAA、BBBは伏字です) Connect Initiating Utilized Utilized tw.####.com(IPアドレス：AAA.AAA.1.114) AAA.AAA.1.114 tw.####.com(IPアドレス：AAA.AAA.1.114) tw.####.com Resolved_To Listened_On_By hk.####.com(IPアドレス：BBB.BBB.118.33) BBB.BBB.118.33 hk.####.com(IPアドレス：BBB.BBB.118.33) hk.####.com Resolved_To Listened_On_By 接続先ポート番号443/TCP 443 TCP Listened_On Listened_On File Hash Watchlist ＝＞検知指標(Indicators)のひとつとして、ファイルのハッシュ値を利用(File Hash Watchlist) 事務系連絡網.zip、事務系連絡網.exe、cserss.exeのハッシュ値 IP Watchlist ＝＞検知指標(Indicators)のひとつとして、IPアドレスを利用(IP Watchlist) 接続先IPアドレス：AAA.AAA.1.114、BBB.BBB.118.33 Domain Watchlist ＝＞検知指標(Indicators)のひとつとして、ドメインを利用(Domain Watchlist) 接続先ドメイン：tw.####.com、hk.####.com IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。 また、Command and Controlサーバとの接続を解明するため、検証システム内に 類似の攻撃で入手している RAT(Remote Access Trojan)用の疑似サーバを準備したところ、 添付されていた exe ファイルを起動したパソコンが疑似サーバと通信を開始したことを確認しました。 ＝＞攻撃手口(TTPs)については、次のように想定。 攻撃手口のパターンはマルウェアを使用した標的型攻撃活動(CAPEC-542: Targeted Malware)。 使用されたマルウェアのタイプのひとつはRAT(Remote Access Trojan)。 攻撃で用いられたツールはマルウェア(Malware)。 攻撃者の攻撃活動基盤のひとつとしてフリーメールを使用(Anonymization)。 攻撃対象となる組織(IPA)。 攻撃対象となるシステムは組織のシステム(Enterprise Systems)。 攻撃対象となる情報は情報資産全般(Information Assets)。 攻撃段階フェーズとしては配送(Delivery)。 Unauthorized Access Targeted Malware Remote Access Trojan PoisonIvy Malware Anonymization IPA Enterprise Systems Information Assets 攻撃対象となる脆弱性などについては該当項目なし 2012-07-19T14:25:36+09:00 2012-10-30T00:00:00+09:00 2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。 この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。 最初のメールは2012/07/19 14:25:36に当年開催企画の連絡先メーリングリストで受信しました。 2012年10月30日、最近の標的型攻撃メールの事例分析として公開しました。 ＝＞インシデント(Incidents)については、次のように想定。 インシデントの分類は不正アクセス(Unauthorized Access)。 資産については、自組織が所有ならびに管理する組織内部の資産(Internally-Owned、Internally-Managed、Internally-Located)。 組織外秘情報への侵害はなし(No)。 確認のため、業務が一時的に阻害された(Disruption of Service / Operations)。 インシデント対応などはすでに完了(Closed)。 インシデントで想定される意図は不正アクセス(Unauthorized Access)。 インシデントによる侵害はなし(No)。 インシデントはユーザからの通知による(User)。 Unauthorized Access IPA Internally-Owned Internally-Managed Internally-Located No Disruption of Service / Operations Closed Unauthorized Access No User Remedy Internal Blocking ＝＞対処措置(Courses_Of_Action)については、次のように想定。 事前の対処措置(Remedy)として接続制限を実施(Internal Blocking)。 対処措置は IP Watchlist/Domain Watchlist にて確認可。 接続制限による影響はなし(None)。 対処措置の費用は低(Low)。 対処措置の有効性は中(Medium)。 None Low Medium IPAの職員を詐称し短時間に大量に IPAに標的型攻撃メールが送られた 2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。 この電子メールでは、実在するIPAの職員(組織幹部)の名前を詐称し、連絡網の送付という、 受信者が添付ファイルを開く動機を強く与える文面でした。 ＝＞サイバー攻撃活動(Campaigns)については、次のように想定。 "000009392" と命名。 組織内ネットワークへの侵入を狙ったもの(Unauthorized Access)。 活動はすでに終息している(Historic)。 000009392 Unauthorized Access Historic IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。 この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。 また、この標的型攻撃メールはフリーメールから送信されていました。 ＝＞攻撃者(ThreatActors)については、次のように想定。 攻撃者のタイプはサイバー犯罪(スパムサービス)。 動機は思想的なものに起因(Ideological)。 熟練度は実務レベル(Practitioner)。 攻撃者の意図は不正アクセス(Unauthorized Access)。 eCrime Actor - Spam Service Ideological Practitioner Unauthorized Access