検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

日本でのElirks亜種を追跡: 過去の攻撃との類似点

林 薫 6 24, 2016 at 06:00 午後

※本記事は2016年6月23日に米国で掲載されたブログ記事の抄訳を基にしています。

マスコミによくとりあげられている、最近の日本企業に対する攻撃に、PlugXおよびElirksという2つのマルウェアが関与していましたが、これらのマルウェアは調査の過程で発見されました。PlugXは2012年に初めて発見されて以来、多くの攻撃で利用されており、私たちはその利用に関する記事をいくつか公開しましたが、記事には日本企業を標的とする攻撃活動に関する分析を記述してあります。

ElirksはPlugXに比べて周知度が低いですが、基本的なトロイの木馬であり2010年に初めて発見されました。主にセキュリティ侵害を受けたシステムから情報を盗み出すために利用されています。私たちは、Elirksを利用した攻撃の大部分が東アジアで発生していることを確認しています。このマルウェア特有の機能のひとつに、予め決めておいたミニブログ サービスまたはSNSにアクセスしてC2アドレスを検索することが挙げられます。攻撃者はこうしたサービス上にアカウントを作成し、バックドアの配信に先立って、実際のC2サーバーのIPアドレスまたはドメイン名を符号化しておき、これを投稿します。ここ数年の間に、私たちは日本のブログ サービスを利用した複数のElirks亜種を確認しました。図1は2016年の初めに発見されたElirksサンプルの中に埋め込まれているURLを示しています。

図1 Elirks亜種に埋め込まれているURL
 

2014年に発見された別のサンプルに関し、攻撃者は日本のブログ サービスを利用しました。関連するアカウントが本記事執筆時点でも存在しています(図2)。

図2 2014年に攻撃者が作成したブログのアカウント
 

過去の攻撃活動との関連

以前、Unit 42はScarlet Mimicと呼ばれている攻撃活動を分析している過程でElirks亜種を特定しました。Scarlet Mimicは長年にわたり少数民族の人権活動家および政府を標的としている攻撃活動です。この一連の攻撃で主に利用されるマルウェアはFakeMで、私たちのリサーチャーはこの脅威がElirksとインフラストラクチャーを共有していることをレポートで説明しています。

本記事の執筆時点で、これまでに確認されているElirks攻撃と日本における最近の事例との間に類似点が認められます。

PDFが添付されているスピア フィッシング電子メール

図3は2012年5月に台湾の省庁に対して送信された電子メールを示しています。

図3 台湾の省庁に対して送信されたスピア フィッシング電子メール
 

この電子メールには、最近の事例にやや類似する特徴があります(表1)。

 

2012年

2016年

電子メール
送信者

台湾の実在の銀行に偽装

日本の実在の航空会社に偽装

電子メール
受信者

一般に公開されている
台湾省庁代表者の
電子メール アドレス

一般に公開されている
子会社代表者の
電子メール アドレス

件名

"クレジット カード明細書
(中国語)

"航空券eチケット
(日本語)

添付ファイル

"電子請求書1015という名前の
PDFファイル(中国語)

PDF アイコンの付いた
E-TKT"という名前のファイル (日本語)

表1 電子メールの特徴
 

ユーザーが添付されたPDFファイルを開くと、次のメッセージが表示されます。これにより、PDFに埋め込まれたAdobe Flashの脆弱性CVE-2012-0611を悪用して、Elirksマルウェアをシステムにインストールします。

図4 悪意のあるPDF添付ファイルを開いたときの画面
 

航空会社のeチケット

攻撃者は、標的にされた個人または組織をおびき寄せるため、それにふさわしいファイル名を選んでいます。最近の事例では、電子メールに添付された悪意のある添付ファイルの名前は"E-TKT"だったと報告されています。2012年8月に台湾で起きた過去の攻撃でも、同様のファイル名が使われたことがわかっています(図5)。

図5 Elirks実行可能ファイルはeチケットのフォルダーに偽装
 

ファイルを開くと、Elirksはコンピュータ上で自身を実行し、ユーザーを欺くためにticket.docを作成します(図6)。

図6 Elirksによって作成されるdocファイル
 

また、2012年3月に台湾で起きた攻撃でも、航空会社に関係するファイル名が使われていたことが判明しています。図7は、"航空券予約番号(更新版).pdf"という名前のPDFファイルを示しています。このPDFファイルを開くと、図4とまったく同じメッセージが表示され、CVE-2011-0611を悪用してElirksがインストールされます。

図7 "航空券予約番号"という名前のPDF
 

結論

現時点では、2016年に日本企業を攻撃した敵対者と、2012年に台湾の組織を攻撃した敵対者が同じであることを示す確実な証拠は見つかっていません。しかし、この2つの攻撃には類似点がいくつか見られます。どちらの事例でも、攻撃者は同じマルウェア ファミリを使用している点、類似の方法でスペア フィッシング電子メールを作成している点、そして航空会社に関係する特定の分野に関心があるように見える点です。ここ数年、日本を標的にした複数のElirks亜種を確認しており、これはサイバー スパイ活動が進行中であることを示している可能性があります。当社は引き続きこの脅威の攻撃者に注意していきます。

Palo Alto Networksのお客様はElirksの亜種から保護されています。また、以下のツールを使用して追加情報を収集できます。

  • WildFireがすべての既知のElirksサンプルを有害であると検出します。
  • すべての既知のC2がPAN-DBで悪意があるとして分類されます。
  • AutoFocusタグが作成されました: Elirks

兆候:

実行可能ファイル:

8587e3a0312a6c4374989cbcca48dc54ddcd3fbd54b48833afda991a6a2dfdea

0e317e0fee4eb6c6e81b2a41029a9573d34cebeabab6d661709115c64526bf95

f18ddcacfe4a98fb3dd9eaffd0feee5385ffc7f81deac100fdbbabf64233dc68

配信PDF:

755138308bbaa9fcb9c60f0b089032ed4fa1cece830a954ad574bd0c2fe1f104

200a4708afe812989451f5947aed2f30b8e9b8e609a91533984ffa55d02e60a2


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved.