IPAの職員を詐称し短時間に大量に IPAに標的型攻撃メールが送られた
Campaign Characterization
IPA に届いた、IPA の職員を詐称した標的型攻撃メールの分析を行いました。
//node()
Email Ops
2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。
この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。
この電子メールでは、実在するIPAの職員(組織幹部)の名前を詐称し、連絡網の送付という、
受信者が添付ファイルを開く動機を強く与える文面でした。
また、この標的型攻撃メールはフリーメールから送信されていました。
ここでは、19件の中から2012/07/19 14:25:55に部門外部受付メーリングリストで受信したメールを取り上げます。
(注:XXXXは伏字です)
Receive
XXXX@ipa.go.jp
Fwd: 事務系連絡網(2012.07.19)
2012-07-19T05:25:55Z
各位
2012.07.19版の事務系職員連絡網について、
別添のとおりお送りいたします。
情報処理推進機構 XXXX
XXXX XXXX
--------------------------------------------------
Returned
標的型攻撃メールの添付ファイル名は、「事務系連絡網.zip」という、メール本文に関係深い日本語が使われていました。
なお、このZIPファイルはパスワード無しで解凍可能でした。
事務系連絡網.zip
.zip
326941
MD5
40d56443238046a0fbc7f8b30ee04f42
SHA1
3e094f93b8075f1310ed3360d486897516b032ff
Contained_Within
Compressed
File Ops (CRUD)
今回、IPAでは安全な検証環境を使って添付ファイルを解凍し、内容を確認しました。
ZIPファイルの内容は業務で利用することの多いMicrosoft Wordの文書ファイルを思わせるアイコンでしたが、
実際の拡張子がexeの実行ファイルでした。また、この不審なファイルに対してファイルハッシュ値を算出し、
一般に公開されているウイルス情報サイトで調べてみたところ、登録されていませんでした。
これは標的型攻撃メールを受信した時点では、多くのセキュリティ対策ソフトで
既知のウイルスとして検出されないことを示すものでした。
Open
事務系連絡網.exe
.exe
675915
MD5
7546277185a237cbd5d3558032112b39
SHA1
4a913eeac630c6607b1a25a3ea31e42d88d9859c
Compressed_By
Affected
File Ops (CRUD)
不審なexeファイル(事務系連絡網.exe)を実行すると同じフォルダに、隠しファイル(cserss.exe)が作成されました。
Create
cserss.exe
.exe
61481
MD5
a09910b62aaf1e92e02a278469e8c4a3
SHA1
668ff9bbf36a0112bd235610982d7e9bc8cd83b0
Created_By
Affected
Registry Ops
不審なexeファイル(事務系連絡網.exe)を実行すると、起動時に自動実行するために、レジストリに値が書き込まれました。
Create
\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE
printfjava
cserss.exe
REG_SZ
Created_By
Affected
App Layer Traffic
隠しファイル(cserss.exe)が起動され、インターネットエクスプローラ(iexplorer.exe)に寄生し、自身は終了しました。
その後、tw.####.com(IPアドレス:AAA.AAA.1.114)、hk.####.com(IPアドレス:BBB.BBB.118.33)の
ポート番号443/TCPへの接続が試みられました。(注:####、AAA、BBBは伏字です)
Connect
Initiating
Utilized
Utilized
tw.####.com(IPアドレス:AAA.AAA.1.114)
AAA.AAA.1.114
tw.####.com(IPアドレス:AAA.AAA.1.114)
tw.####.com
Resolved_To
Listened_On_By
hk.####.com(IPアドレス:BBB.BBB.118.33)
BBB.BBB.118.33
hk.####.com(IPアドレス:BBB.BBB.118.33)
hk.####.com
Resolved_To
Listened_On_By
接続先ポート番号443/TCP
443
TCP
Listened_On
Listened_On
File Hash Watchlist
=>検知指標(Indicators)のひとつとして、ファイルのハッシュ値を利用(File Hash Watchlist)
事務系連絡網.zip、事務系連絡網.exe、cserss.exeのハッシュ値
IP Watchlist
=>検知指標(Indicators)のひとつとして、IPアドレスを利用(IP Watchlist)
接続先IPアドレス:AAA.AAA.1.114、BBB.BBB.118.33
Domain Watchlist
=>検知指標(Indicators)のひとつとして、ドメインを利用(Domain Watchlist)
接続先ドメイン:tw.####.com、hk.####.com
IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。
また、Command and Controlサーバとの接続を解明するため、検証システム内に
類似の攻撃で入手している RAT(Remote Access Trojan)用の疑似サーバを準備したところ、
添付されていた exe ファイルを起動したパソコンが疑似サーバと通信を開始したことを確認しました。
=>攻撃手口(TTPs)については、次のように想定。
攻撃手口のパターンはマルウェアを使用した標的型攻撃活動(CAPEC-542: Targeted Malware)。
使用されたマルウェアのタイプのひとつはRAT(Remote Access Trojan)。
攻撃で用いられたツールはマルウェア(Malware)。
攻撃者の攻撃活動基盤のひとつとしてフリーメールを使用(Anonymization)。
攻撃対象となる組織(IPA)。
攻撃対象となるシステムは組織のシステム(Enterprise Systems)。
攻撃対象となる情報は情報資産全般(Information Assets)。
攻撃段階フェーズとしては配送(Delivery)。
Unauthorized Access
Targeted Malware
Remote Access Trojan
PoisonIvy
Malware
Anonymization
IPA
Enterprise Systems
Information Assets
攻撃対象となる脆弱性などについては該当項目なし
2012-07-19T14:25:36+09:00
2012-10-30T00:00:00+09:00
2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。
この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。
最初のメールは2012/07/19 14:25:36に当年開催企画の連絡先メーリングリストで受信しました。
2012年10月30日、最近の標的型攻撃メールの事例分析として公開しました。
=>インシデント(Incidents)については、次のように想定。
インシデントの分類は不正アクセス(Unauthorized Access)。
資産については、自組織が所有ならびに管理する組織内部の資産(Internally-Owned、Internally-Managed、Internally-Located)。
組織外秘情報への侵害はなし(No)。
確認のため、業務が一時的に阻害された(Disruption of Service / Operations)。
インシデント対応などはすでに完了(Closed)。
インシデントで想定される意図は不正アクセス(Unauthorized Access)。
インシデントによる侵害はなし(No)。
インシデントはユーザからの通知による(User)。
Unauthorized Access
IPA
Internally-Owned
Internally-Managed
Internally-Located
No
Disruption of Service / Operations
Closed
Unauthorized Access
No
User
Remedy
Internal Blocking
=>対処措置(Courses_Of_Action)については、次のように想定。
事前の対処措置(Remedy)として接続制限を実施(Internal Blocking)。
対処措置は IP Watchlist/Domain Watchlist にて確認可。
接続制限による影響はなし(None)。
対処措置の費用は低(Low)。
対処措置の有効性は中(Medium)。
None
Low
Medium
IPAの職員を詐称し短時間に大量に IPAに標的型攻撃メールが送られた
2012年7月19日、IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。
この電子メールでは、実在するIPAの職員(組織幹部)の名前を詐称し、連絡網の送付という、
受信者が添付ファイルを開く動機を強く与える文面でした。
=>サイバー攻撃活動(Campaigns)については、次のように想定。
"000009392" と命名。
組織内ネットワークへの侵入を狙ったもの(Unauthorized Access)。
活動はすでに終息している(Historic)。
000009392
Unauthorized Access
Historic
IPAの複数のメールアドレスに対して標的型攻撃メールが届きました。
この攻撃では、約3分間の短い間にメール本文と添付ファイル及び差出人が同一の標的型攻撃メールが計19件送られました。
また、この標的型攻撃メールはフリーメールから送信されていました。
=>攻撃者(ThreatActors)については、次のように想定。
攻撃者のタイプはサイバー犯罪(スパムサービス)。
動機は思想的なものに起因(Ideological)。
熟練度は実務レベル(Practitioner)。
攻撃者の意図は不正アクセス(Unauthorized Access)。
eCrime Actor - Spam Service
Ideological
Practitioner
Unauthorized Access