Zeus is forwarding Adobe updates again 」より
Posted:May 18,2010

 当社(米ウェブセンス)のセキュリティラボは、Webベースの脅威からユーザーを保護する目的で運営している「ThreatSeeker Network」で、マルウエア「Zeus」用ペイロードを含む一連の悪質なメールを新たに検出した。この攻撃は、米アドビシステムズが2010年5月5日(米国時間)に報告した別の攻撃とよく似ている。ただし、使われているソーシャルエンジニアリングの手口はかなり高度化した。メールは、アドビの情報サービス担当ディレクターが社内で直接受け取ったアップデート手順書を転送したかのような内容だ。そして、セキュリティホール「CVE-2010-0193」に対策するアップデート用のリンクを記載してある。二つあるリンク先は、どちらも手順書のPDFファイルと修正パッチの実行可能ファイルが置かれているサーバーと同じIPアドレスだ。実行可能ファイルの名前は「adbp932b.exe」(SHA-1ハッシュ値は「0632f562c6c89903b56da235af237dc4b72efeb3」)で、オンラインセキュリティ検査サービス「VirusTotal」の検出率は約7%と低い

攻撃用メールのスクリーンショット:

 このメールにおける伏兵は、PDF文書「update.pdf」(SHA-1ハッシュ値は「d408898e33c207eceea6d5b2affdac8ec266f77e」)である。PDF文書の添付された悪質なメールは通常、受信者のパソコンに被害を及ぼして乗っ取るようなエクスプロイトが入っていると考えられる。ところが今回の例は、それとはかなり違う。攻撃者はソーシャルエンジニアリング的な要素を強めていて、セキュリティにおける最大の弱点であるエンドユーザーに働きかけている。この添付PDF文書には、メールの「セキュリティ修正パッチ」ダウンロード用リンクと同じものが先頭に記載され、「Click run in each window that appears」(「表示されたすべてのウィンドウで実行ボタンをクリックして下さい」)と書いてある。勘の良い方なら、攻撃用の実行ファイルに誘導するためのIPアドレスと、以下のPDFファイルに記載されたIPアドレスが実は別物であることに気付くだろう。PDFファイル自体は悪質なファイルでなく、信用できるもののように見える。これは、記載した手順をメール受信者に信じてもらうための策略だ。

添付PDF文書のスクリーンショット:

「Websense Messaging」と「Websense Web Security」を使っていれば、今回の攻撃は防げる。

補足情報:

 メールの送信主である攻撃者は、実行可能ファイルへのリンクをメールに記載するだけでなく、ソーシャルエンジニアリング攻撃も仕掛けている。攻撃者は、別の実行可能ファイルをホスティングするIPアドレス(SHA-1ハッシュ値は「7af53e5924b45ebcb48d8b17e20b66a5979600f3」)も設けたのだ。このファイルはごく普通のインストーラーとして機能するようだ。実行すると設定用プロンプトと使用許諾契約書(EULA)まで表示されるが、インストールを終えたパソコンにはバックドアが仕掛けられてしまう。ただし、メッセージの量が少なく、インストーラーがバックドアを作ろうとすることから、我々は標的を絞った全く別の攻撃と考えている。

インストール処理中に表示される画面のスクリーンショット:




Copyrights (C) 2010 Websense, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Zeus is forwarding Adobe updates again 」でお読みいただけます。