インテリジェンス

2019年4月16日 (火)

OceanLotusが使う検出回避テクニック

  検体解析やインシデント対応の中で、あるテクニックがオペレーションの多くの場面で使われているのを観測する事があります。

  最近の標的型攻撃では、APT10 ANEL[1] やBlackTech TSCOOKIE[2]などエンコード・暗号化されたコードを実行時にデコード・復号し、メモリ上でPE形式のコードを実行するタイプ(ここでは、ローダーと呼称します)が多く観測されています。

攻撃者グループが使うエンコード・暗号方式も違いがあり、上述のバックドア型のマルウェアだけでなくMimikatzのようなツールも検出を回避するのにローダーが使われる事があります。

今回は、弊社で観測したOceanLotus/APT32 の検出回避テクニックについて解説します。

続きを読む »

2017年8月29日 (火)

防衛装備に関連した調査報告書を偽装した攻撃

先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。

続きを読む »

2015年11月26日 (木)

フリーメールを使った差出人メールアドレスの詐称

標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp や *****@yahoo.co.jp などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。

一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者/犯罪者が“フリーメールサービス”を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読者の皆様の組織における防衛強化のための知見として、詐称の具体的な手口を共有させて頂きます。

続きを読む »

2015年6月 8日 (月)

Emdiviを使う攻撃者の素性

世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。

続きを読む »

2015年4月 1日 (水)

「Scanbox」が日本を偵察中

去年8月に米国AlienVault社のブログ(*1)で報告されたScanboxという偵察ツールがあります。これは、JavaScriptだけで書かれた偵察ツールで、Webサイトへ訪問しただけで、OS、ブラウザ、ウイルス対策ソフトを含む各種ソフトウェアの種別やバージョン情報が収集されてしまうものですが、弊社では、去年の秋くらいから、このツールが日本でも使われたことを数件確認しています。

続きを読む »

2015年1月26日 (月)

医療費通知に偽装した攻撃(Backdoor.Emdivi) その後

昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。

続きを読む »

2014年11月 7日 (金)

健康保険組合になりすました不審なメールについて

ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル(exe)で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。

続きを読む »

2014年9月19日 (金)

9.18で改ざんされたWebサイトをMaltegoで見てみた

今年も、9.18に乗じたWebサイトの改ざんが多数発生したようです。中国国内向けの情報提供サイトから、実際に改ざんされた日本語Webサイトを合計88サイト確認することができました。

続きを読む »

2014年9月 2日 (火)

Maltegoによる偵察から見えるリスク ~VPN装置からの侵入に注意せよ~

先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda(Mandiant社の呼称ではAPT18)と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性(Heartbleed)を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。

続きを読む »

2014年7月 3日 (木)

中国人民解放軍61486部隊(PUTTER PANDA)に関する情報

ブログ初投稿となる客員研究員の柳下です。一部国内でも既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、中国の上海を拠点に活動する中国人民解放軍61486部隊の攻撃者のレポートを公開しています。この攻撃者は、CrowdStrike社によってPUTTER PANDAと呼称されており、米政府の防衛部門や科学技術研究部門、とりわけ米国防総省と欧州の衛星技術/航空宇宙業界を標的にサイバースパイ活動を行ってきた事が報告されています。

続きを読む »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat