Symantec、Sykipot についての最新解析情報を発表

米国 Symantec は2012年1月26日、Adobe 製品で確認された脆弱性を利用するトロイの木馬「Sykipot」の最新解析情報について発表した。

発表によれば、Sykipot による攻撃はさまざまな業種を標的としているが、その大部分は軍需産業だという。どの攻撃も、何文字かのアルファベットに日付が続く一意の ID がトロイの木馬本体にハードコードされているという特徴があり、数字の前のキーワードが、利用されている Web サーバーのサブドメインのフォルダ名になっている場合もある。攻撃者は一意の ID を目印にして、業種別･組織別に攻撃を関連付けられるようになっているという。

これ以外にも、狙ったユーザーに新しいバイナリを送信する前に使われる、テスト用のステージングサーバーと思しきものを考察する手がかりが残されていたという。また、このサーバーは、一定期間コマンド＆コントロール（C＆C）サーバーとしても使われていたことが確認されている。サーバーは中国の北京地域に置かれ、中国の大手 ISP 上で稼働していたが、攻撃者のひとりが浙江省から接続していたケースもある。このサーバーでは、過去数か月間で 100 を超える悪質なファイルがホストされ、その多くが Sykipot による攻撃に使われていた。

このサーバー上で見つかったファイルは、カスタマイズされた Sykipot のバイナリ PDF ファイルで構成され、その中に Skyipot を投下する悪用コードが含まれている。それが大部分を占めるが、ほかにも、パスワードハッシュをコンピュータからダンプするときに使われる 「gsecdump」 など、侵入に成功した後で動作するツールも発見された。

Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性（BID 44652）を利用するためのテンプレートも見つかっている。これらのファイルの多くは、システム上で直接生成されるのではなく、別の場所で作成されてシステムにコピーされる、と同社はみている。FTP 経由でコンピュータにダウンロードされたファイルや、リムーバブルドライブから転送されたファイルがあることも確認された。

アジアで広く普及しているインスタントメッセージクライアントを使って特定の連絡先から受信され、コンピュータに保存されるファイルもあったが、この連絡先番号をたどって特定の人物を突き止めるには至らなかったという。

同じグループに属すると思われる別のコンピュータを突き止めることができたことも、重要な意味を持つという。このコンピュータでは、検出をくぐり抜けるためにファイルを自動的に変更するツールが利用されていた。

悪質な PDF ファイルの作成に使うツールがすでに広く流通しているということ、ファイルのパス名に 「miansha」 という文字列が含まれていることに注目すべきである、と同社はみている。大ざっぱに訳すと「ベール」という意味で、これは検出をくぐり抜ける目的でファイルを変更することを表すときにハッカーが使う隠語だという。「fenxi」という語も見られるが、これは「解析」という意味の中国語を意味する。こうしたツールが出回っている以上、CVE-2011-2462 の脆弱性を悪用する攻撃がこれからも続くことは間違いない、と同社は予想。

また、前回の発表に加えて新たなドメインが Sykipot 攻撃に関与していることが判明。これらのドメインのなかには、侵入を受けて攻撃に利用されていたものもあるが、ほとんどは Sykipot 攻撃ネットワークの一部として機能することだけを目的として登録されており、上述の C＆C ドメインをホストしている同じサーバーから悪質な電子メールが送信されているケースもあったという。

Sykipot による攻撃は、複数の業種を対象として長期化している。攻撃者は中国語に詳しく、中国の国内にあるコンピュータリソースを利用しているもの、と同社は推察。新たな脆弱性を利用し、セキュリティ製品さえくぐり抜けるために自らの「作品」を常に改良し続けていることから、攻撃者が集団であることは明らかであり、Sykipot による攻撃は今後も続く、と同社は予測する。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール