10月24日から25日にかけて、「admin@338」からのスピアフィッシング攻撃が2件検知されました。この攻撃は、国際貿易、金融、経済政策などに関する情報を入手する明確な意図を持って、複数の組織を標的としていました。この2つの攻撃では、異なるマルウェアが使用され、テクニック、戦術、プロセスを迅速に適応させる能力が実証されました。
投資家ガイドとコンタクトリストを餌に
西ヨーロッパ中央銀行
国際貿易、経済、金融政策の分野の組織。
アメリカのシンクタンク
極東某国の政府部門このフィッシングメールは、CVE-2012-0158の脆弱性を悪用した悪質なワード文書です。
Word文書のプロパティ。
ファイル名:Investor Relations Contacts.doc
MD5: 875767086897e90fb47a021b45e161b2
このWordを開くと、C:˶Windowswmiserver.exeに実行ファイルが書き込まれます!
ボゾックの遠隔操作能力
Bozokは、他の一般的なリモートコントロールと同様、インターネットから自由にダウンロードすることができます。 Slayer616」のニックネームで知られるBozokの作者は、Schwarze sonne (SS-RAT)でもよく知られています。これら2つのリモート・コントロールはインターネット上で容易に入手可能であり、攻撃に広く使用されています。
SS-RATとは異なり、Bozokはまだメンテナンス中で、10月に2回のアップデートを行い、いくつかのバグを修正し、スペイン語、アラビア語、ブルガリア語、ポーランド語、フランス語のサポートを追加しました。下の写真のように、使い方はとても簡単です。
コンピュータがBozokに感染すると、攻撃者は多くの不正行為を行うことができます。
感染したコンピューターからファイルをダウンロードしたり、ファイルをアップロードしたりする
終了プロセスを開始する
レジストリを変更する
システムに保存されているパスワードをキャプチャするどのようなコマンドでも、グラフィカル・インターフェースを通じて実行することができます。
攻撃者はまた、ウェブカメラのオン、キー入力の記録、コントロール画面の表示など、Bozokの機能を拡張するDLLプラグインをアップロードすることができます。
Bozokは実行ファイルのリソースセクションに設定パラメータを保存します。この攻撃で得られたBozok亜種の設定パラメータは以下の通りです。
ID = aubok
Mutex = 801JsYqFulHpg
Filename = wmiserver.exe
Startup Entry Name = wmiupdate
Plugin filename = ext.dat
Connection password = wwwst@Admin
Connection port = 80
Connection servers = www.microsoft.mrbasic.com, microsoft.mrbasic.com感染時、Bozokは以下の初期ネットワークトラフィックを送信しました。
パケット解析の結果、リモコンの接続パスワードは「wwwst@Admin」。
攻撃源の特定
この攻撃は "admin@338 "からのものと考えられており、その特徴については「被害の評価と抽出」で説明しています。
Intelligence "レポートには、この攻撃の詳細が記述されています。
consilium.dnset.com
consilium.dynssl.com
consilium.proxydns.com
dnscache.lookin.at
ecnet.rr.nu
european.athersite.com
hq.dsmtp.com
hq.dynssl.com
ipsecupdate.byinter.net
itagov.byinter.net
microsoft.acmetoy.com
microsoft.dhcp.biz
microsoft.dynssl.com
microsoft.ftpserver.biz
microsoft.instanthq.com
microsoft.isasecret.com
microsoft.lookin.at
microsoft.proxydns.com
microsoft.wikaba.com
microsofta.byinter.net
microsoftb.byinter.net
phpdns.myredirect.us
sslupdate.byinter.net
svchost.lookin.at
svchost.passas.us
teamware.rr.nu
webserver.dynssl.com
webserver.fartit.com
webserver.freetcp.com
www.consilium.dnset.com
www.consilium.dynssl.com
www.consilium.proxydns.com
www.hq.dsmtp.com
www.hq.dynssl.com
www.microsoft.acmetoy.com
www.microsoft.dhcp.biz
www.microsoft.dsmtp.com
www.microsoft.dynssl.com
www.microsoft.instanthq.com
www.microsoft.isasecret.com
www.microsoft.proxydns.com
www.microsoft.wikaba.com
www.svchost.ddns.info
www.svchost.dyndns.pro
www.svchost.dynssl.com
www.verizon.dynssl.com
www.verizon.itemdb.com
www.verizon.proxydns.com
www.webserver.dynssl.com
www.webserver.fartit.com
www.webserver.freetcp.comadmin@338は、1月6日の攻撃でもBozokを使用しており、この攻撃では電子メールを使用して悪意のある
アジア太平洋地域の投資家お照会先
投資家の連絡先情報をエサにした最近のBozokサンプルを分析したところ、10月24日にも同様の攻撃があったことが判明。この攻撃の前日。攻撃者は同じ手法で、同じアメリカのシンクタンクにフィッシング・メールを送っていました。
www.dpmc.dynssl.com和www.dataupdate.dynssl.com分别在10月24日和21日解析到了58.64.153.157。
はんけつをくだす
24日のBackdoor.APT.FakeWinHTTPHから25日のokまで、この一連の連続したイベントは、@38が以下の機能を持っているという事実を反映しています。
技術、戦略、プロセスを素早く適応させる能力。さらに、admin@338は、一般に公開されているリモートコントロールと自作のリモートコントロールを統合しています。
