URLZone_Vawtrak_JP



Similar documents
Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 使 用 しています Microsoft Windows Windows Vista は 米 国 Microsoft Corporation の 米 国 及 びその 他 の 国 における 登 録 商 標 又 は

ご 利 用 の 前 に 手 順 初 回 ご 利 用 時 に 必 ずご 確 認 ください ご 利 用 の 前 に (ご 利 用 環 境 の 確 認 ) P アクセス 方 法 (IMAGE WORKSサイトへアクセス) P 初 期 設 定 (JREのインストール) P

Microsoft PowerPoint _ビジネスプランの作成_勝瀬典雄.pptx[読み取り専用]

治 験 実 施 管 理 システム NMGCP 向 け Excel 形 式 プロトコール 作 成 手 順 書 V4.0.3 対 応 版 第 1 版 株 式 会 社 富 士 通 アドバンストエンジニアリング All Rights Reserved,Copyright 株 式 会 社 富 士 通 アドバン

目 次 1. Web メールのご 利 用 について Web メール 画 面 のフロー 図 Web メールへのアクセス ログイン 画 面 ログイン 後 (メール 一 覧 画 面 ) 画 面 共 通 項 目

SILAND.JP テンプレート集

WEB版「新・相続対策マスター」(ご利用の手引き)

Microsoft PowerPoint - [JA]STEP2_メール訓練_事前教育資料_150731a-gsx.pptx

預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

技術報告会原稿フォーマット

もくじ はじめに 本 書 はスマートフォンやタブレットのアプリ LINE の 設 定 を 行 うためのマニュアルとなります 詳 しい 操 作 方 法 については メーカーホームページ 上 の 基 本 的 な 使 い 方 を 参 照 ください LINE 基 本 的 な 使 い 方

の と す る (1) 防 犯 カ メ ラ を 購 入 し 設 置 ( 新 設 又 は 増 設 に 限 る ) す る こ と (2) 設 置 す る 防 犯 カ メ ラ は 新 設 又 は 既 設 の 録 画 機 と 接 続 す る こ と た だ し 録 画 機 能 付 防 犯 カ メ ラ は

文化政策情報システムの運用等

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること

text

平成21年度 固定資産税(償却資産)

<4D F736F F D2095BD90AC E D738FEE816A939A905C91E D862E646F63>

PowerPoint プレゼンテーション

<4D F736F F F696E74202D2093FA8C6F939D8D EA68E9197BF>

平成24年度税制改正要望 公募結果 153. 不動産取得税

<4D F736F F D F4390B3208A948C E7189BB8CE F F8C668DDA97702E646F63>

Microsoft Word - 新ユーザー専用ページ機能詳細・マニュアル.doc

MetaMoJi ClassRoom/ゼミナール 授業実施ガイド

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>


メール 受 信 画 面 のレイアウトを 変 更 することができます ここでは 初 期 設 定 のレイアウトで 表 示 されているボタ ンやマークについて 解 説 します メール 一 覧 画 面 には 受 信 したメールが 一 覧 表 示 されます メール 受 信 タブをクリックすると 受 信 箱 フ

購買ポータルサイトyOASIS簡易説明書 b

Transcription:

Threat Insight Blog 及 び UrlZone バンキングトロージャンが 日 本 を 狙 う 概 要 Proofpoint の 研 究 者 は 日 本 をはじめとする 国 々を 狙 ったバンキングトロージャンが 今 年 1 月 から 2 月 にかけてかつて 無 い 規 模 で 拡 散 しているのを 観 測 しました 日 常 的 に 狙 われているイギリスやアメリ カなどでは 企 業 の 対 策 も 進 んでいますが これらの 国 々はこれまで 狙 われてこなかったため 被 害 の 拡 散 が 懸 念 されています 特 に 日 本 ( 及 びスペイン) では 2015 年 10 月 に 最 初 に 観 測 された Shifu 以 降 継 続 して 大 規 模 な 攻 撃 に 晒 されています 今 回 の 観 測 から 得 られた 主 な 発 見 は 以 下 の 通 りです: UrlZone バンキングトロージャンが 日 本 とスペインの 銀 行 を 狙 ったメールスパムによって 拡 散 しています トロージャンは Angler エクスプロイトキットを 介 して 広 がっており 日 本 の 銀 行 を 狙 っています どちらのトロージャンも 金 融 機 関 の Web サイトのコンテンツを 操 作 するためのダイナミックイ ンジェクトシステムを 使 っています (リソースを 共 有 しているか 同 じサードパーティからツー ルを 調 達 していると 考 えられます) このインジェクトシステムはロシア 人 によって 開 発 されました UrlZone バンキングトロージャン 今 年 1 月 21 日 Proofpoint の 研 究 者 は 日 本 のメールアカウントを 狙 った 数 万 通 ものメールを 含 む 大 きなスパム 攻 撃 を 観 測 しました 他 の 研 究 者 も 日 本 での UrlZone の 急 増 を 観 測 しました しかし それよりも 重 要 なことが 背 後 で 起 こっていました 複 数 の Gmail アカウントから 送 信 された 攻 撃 メールの 件 名 は copy 3 メール 本 文 は 空 白 で ZIP 圧 縮 された 実 行 形 式 ファイルが 添 付 されています Proofpoint はこれまで Dridex の 拡 散 を 数 多 く 観 測 し てきましたが 2015 年 を 通 じて このようなシンプルなテクニックが 使 われるようになってきています シンプルなため 作 るのが 簡 単 で 偽 装 のための 特 別 なアイデアも 必 要 無 く 翻 訳 も 必 要 ありません そして 恐 らくはそれでも 十 分 な 効 果 を 上 げているのです 図 1: 攻 撃 メール 1

この 攻 撃 で 使 われていた 添 付 ファイルが Andromeda です Andromeda はマルチパーパスのボットで すが このケースでは UrlZone をダウンロードするために 使 われています また マルウェアのエコシ ステムでは 良 くあることですが Andromeda が 他 のマルウェアを 大 量 にロードすることも 観 測 されてい ます UrlZone: マンインザブラウザータイプのバンキングトロージャンで ここ 数 年 観 測 されていま す Pushdo Downloader: 感 染 したコンピュータをスパムボットネットに 追 加 するのに 加 え このロ ーダーは NeutrinoBot をダウンロードします : パスワードの 窃 盗 DDoS 他 のペイロードのロードなどの 機 能 を 持 つマルチパ ーパスボットで 今 回 は 追 加 の 窃 盗 のために Pony をダウンロードします Pony: 追 加 のマルウェアのロード パスワードの 窃 盗 ビットコインのサイフとして 使 われます 今 回 は 窃 盗 の 機 能 が 使 われました Proofpoint が 1 月 27 日 に Cryptowall の 大 がかりな 攻 撃 を 観 測 したことを 附 記 しておくことには 意 味 があるでしょう Cryptowall は UrlZone 攻 撃 でも 使 われた をダウンロードします そし て 2015 年 12 月 11 日 には 同 じく UrlZone 攻 撃 の 中 で 使 われた Andromeda ボットネットが 使 われ た 攻 撃 を 観 測 しています このときはしかし Pushdo のダウンロードのみに 使 われていました これら の 観 測 結 果 は これらの 攻 撃 を 行 った 攻 撃 者 の 間 になんらかの 関 係 があったことを 示 唆 しています 図 2: UrlZone と 関 連 する 攻 撃 以 下 の 表 は UrlZone によって 狙 われた 銀 行 ( 及 び 顧 客 ) です 銀 行 名 国 狙 われたドメイン Bankiter Spain empresas.bankinter.com Banco Sabadell Spain www.bancsabadell.com ww1.sabadellcam.com ww1.sabadellurquijo.com Banca Multicanal Spain www.ruralvia.com 2

Sumitomo Mitsui Banking Japan directd?.smbc.co.jp Corporation The Musashino Bank Japan ib1.musashinobank.co.jp The Yamagata Bank Japan ib1.yamagatabank.co.jp Juroku Bank Japan bk.juroku.co.jp Chugoku Bank Japan direct.chugin.co.jp Bank of The Ryukyus Japan direct.ryugin.co.jp Hachijuni Bank Japan direct1.82bank.co.jp The Daishi Bank Japan ib.daishi-bank.co.jp Hokkoku Bank Japan ib.hokkokubank.co.jp Shinkin Bank Japan www11.ib.shinkin-ib.jp The Norinchukin Bank Japan *direct.jabank.jp The Tajima Bank Japan *parasol.anser.ne.jp Resona Bank Japan *ib.resonabank.co.jp The Japan Net Bank Japan *login.japannetbank.co.jp Tsukuba Bank Japan ib.tsukubabank.co.jp The Awa Bank Japan ib1.awabank.co.jp MIYAZAKIBANK Japan mib.miyagin.co.jp The Hiroshima Bank Japan direct.ib.hirogin.co.jp 図 3: UrlZone のインスタンスによって 狙 われた 日 本 とスペインの 銀 行 サイト バンキングトロージャン Sophos と Trend Micro の 研 究 者 が 2014 年 以 前 に が 日 本 を 狙 っていることを 書 いていま すが 2015 年 から 2016 年 にかけて 日 本 を 狙 っているアップデートされた 攻 撃 について 記 述 されたものはありません 2016 年 2 月 2 日 私 達 は Angler EK が ID 28 を 日 本 に 向 けて 配 信 しているのを 観 測 しました 図 4: 日 本 を 狙 って ペイロードを 配 信 する Angler EK 以 下 の 表 は 最 近 の 攻 撃 で に 狙 われた 銀 行 です: 銀 行 名 国 狙 われたドメイン Sumitomo Mitsui Banking Japan directd?.smbc.co.jp Corporation The Musashino Bank Japan ib1.musashinobank.co.jp The Yamagata Bank Japan ib1.yamagatabank.co.jp Juroku Bank Japan bk.juroku.co.jp Chugoku Bank Japan direct.chugin.co.jp Bank of The Ryukyus Japan direct.ryugin.co.jp The Daishi Bank Japan ib.daishi-bank.co.jp Hokkoku Bank Japan ib.hokkokubank.co.jp Hachijuni Bank Japan direct1.82bank.co.jp Tsukuba Bank Japan ib.tsukubabank.co.jp The Awa Bank Japan ib1.awabank.co.jp MIYAZAKIBANK Japan ib.miyagin.co.jp The Hiroshima Bank Japan direct.ib.hirogin.co.jp Shinkin Bank Japan www11.ib.shinkin-ib.jp The Norinchukin Bank Japan direct.jabank.jp 3

Resona Bank Japan ib.resonabank.co.jp The Japan Net Bank Japan login.japannetbank.co.jp The Tajima Bank Japan parasol.anser.ne.jp SBI Sumishin Net Bank Japan netbk.co.jp 図 5: ID 28 に 狙 われた 日 本 の 銀 行 サイト と UrlZone で 共 有 されているダイナミックインジェクトシステム 両 方 のトロージャンからインジェクトコードを 抜 き 出 してみたところ 標 的 となっている 銀 行 が 重 複 してい ることを 発 見 しました どちらのバンキングトロージャンも 金 融 機 関 の Web サイトのコンテンツを 操 作 するために 同 じダイナミックインジェクトシステムを 使 っていたのです これは 双 方 の 攻 撃 者 は 何 らか の 形 でリソースを 共 有 しているか 同 じサードパーティからツールを 調 達 していることを 意 味 しています そして インジェクトの JavaScript コードに Startuem nash interval na proverku statusa という 記 載 があることから これはロシア 人 の 開 発 者 によって 開 発 されたことがわかります これは ステータスを チェックするためのインターバルを 開 始 という 意 味 です 図 6: インジェクトコードの 一 部 結 論 他 所 でも 書 かれているように 日 本 とスペインでのバンキングトロージャンの 急 増 は 大 きな 問 題 を 孕 ん でいます イギリスやアメリカの 組 織 は これまでも Dridex や Dyre (そしてその 他 のバンキ ングトロージャン) の 激 しい 攻 撃 を 受 けてきており 防 御 システムにもそれなりの 投 資 を 行 っていますが これまでそういった 経 験 が 乏 しかった 地 域 では これらの 脅 威 と 戦 っていく 過 程 で 自 らの 脆 弱 性 に 気 が ついて 行 くでしょう 残 念 ながら 多 くの 地 域 で 標 的 が 無 くなってきているため 攻 撃 が 新 しい 地 域 に 向 かうのは 時 間 の 問 題 であり そういった 地 域 がこれまで Dridex や 他 のマルウェアで 見 られたような 膨 大 な 規 模 の 攻 撃 を 経 験 することは 確 実 なのです 追 補 A : UrlZone を 含 む 攻 撃 の IOC 値 1a86cf4fb4dcb0e4e3aad41bc039d8302e0fd6f9fabe203efc77e3aec35e2f66 606708C9479E1DF26545D469D3D54A0E268F01AD8AA061F6504968C3B1 594A0C 757F2C62637765CBC8C7B9F5F63ED4AB00F34485F516A66B2A81B4EDF B731920 CE08A35831F6F5777DB6E8FEA9BAC40808917FEC019338BA0028508273 7611FB E90050D963D376C1F75416EBF9BC6FFA2299046F8ADD1DDE6D6775244 3587411 1d6d7ea0eeec99da1add9e83f672533eeee900dc817018ee6edbf635bb08cf0 a f3b9815ea4a6c603eafadb26efebec21565deec315ee007d59e92f0f656a90bb 15896a44319d18f8486561b078146c30a0ce1cd7e6038f6d614324a39dfc6c2 8 タイプ Andromeda hash Pushdo hash hash Pony hash 4

hxxp://huremoke[.]net/get.php hxxp://votehad[.]su/paris.php hxxp://shardsound[.]net/images.php hxxp://kernsmee[.]ru/news.php hxxp://masabodhi[.]com/andoluse.php hxxps://hwnbv5woeedjffn[.]com hxxp://5.45.179[.]179/ajax.php hxxp://5.45.179[.]179/p/ajax.php hxxp://www.fondazionelanza[.]it/eng/v3.exe hxxp://www.fondazionelanza[.]it/eng/akeyb.exe hxxp://www.tajjquartet[.]com/ff/serif/payload.exe hxxp://www.tajjquartet[.]com/ff/serif/ponik.exe hxxps://ifree-online[.]com UrlZone C2 C2 Pony C2 Andromeda UrlZone Andromeda Pushdo loader Pushdo loader Pony UrlZone Injects C2 追 補 B: を 含 む 攻 撃 の IOC 値 タイプ 9f1de72234dcf77ddf25b69df98058a7f9e633f803ddc2720209bb315ef3a04c hash hxxp://begiekee[.]com/rss/feed/stream hxxp://searalihid[.]com/rss/feed/stream hxxp://zofienie[.]com/rss/feed/stream hxxp://deehiesei[.]com/rss/feed/stream hxxp://keanees[.]com/rss/feed/stream hxxp://peazor[.]com/rss/feed/stream hxxp://xeaberal[.]com/rss/feed/stream hxxp://dietoog[.]com/rss/feed/stream hxxp://mafoovoo[.]com/rss/feed/stream hxxp://geeseazei[.]net/rss/feed/stream 91.242.163[.]74:8080 hxxp://5.187.2[.]19//272a5ad4a1b97a2ac874d6d3e5fff01d hxxp://5.187.2[.]19//2f6421d9a99d75c5d153edda3f1fe5e3 hxxp://5.187.2[.]19//9079dae8e107342d8f3747fa74ab8a57 hxxp://5.187.2[.]19//7afb9776a27d97b2f43f8de256448072 5

hxxp://5.187.2[.]19/upd/28 update Contact us; 日 本 プルーフポイント 株 式 会 社 東 京 都 中 央 区 日 本 橋 2-2-6 日 本 橋 通 り 二 丁 目 ビル 9F http://www.proofpoint.co.jp sales-japan@proofpoint.com 6

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック