T9000 – Skypeアクティビティをキャプチャする高度なバックドア

聞いてますか, またはさらに悪い–経験豊富, で検出されたT5000バックドア 2013 と 2014? あなたが人権活動家なら, アジア太平洋地域の政府職員または自動車産業の従業員, 洗練されたT5000マルウェアに感染している可能性があります.

詳細については APTバックドア

不運にも, パロアルトネットワークスによる最近の調査, T5000マルウェアファミリーを最初に分析したのと同じセキュリティ会社 (Plat1とも呼ばれます), バックドアに新しいバージョンがあることを示します.

T9000に会う–Skypeユーザーを狙うバックドア

今言ったように, T9000マルウェアはT5000の新しいバージョンのようです. T9000は、米国内でスピアフィッシングメールを介して配布されていることが判明しています。. どうやら, 特定の組織が現在目標を達成しているにもかかわらず, この作品は、さまざまなターゲットに対するさまざまなキャンペーンで使用するのに十分な適応性があります.

T9000は、レーダーの下を飛行して検出を回避できるだけではありません。, 最先端のバックドアに存在する2つの機能. T9000は、暗号化されたデータをキャプチャすることもできます, スクリーンショットを撮り、特にSkypeユーザーをターゲットにする. マルウェアのインストールプロセス全体が実行されます 4 ステージ, 検出や進行中のセキュリティ分析を回避するために多くの努力が払われてきました.

加えて, マルウェアは識別できるほど正確です 24 ターゲットシステムで実行されている可能性のある潜在的なマルウェア対策製品:

• ソソソ
• INCAInternet
• DoctorWeb
• Baidu
• コモド
• TrustPortAntivirus
• GData
• AVG
• BitDefender
• ウイルスチェイサー
• マカフィー
• パンダ
• トレンドマイクロ
• Kingsoft
• ノートン
• マイクロポイント
• Filseclab
• アンラボ
• 江民
• テンセント
• Avira
• カスペルスキー
• ライジング
• 360

上記のマルウェア対策製品は、他のセキュリティ製品と組み合わせたバイナリ値を介して含まれています. パロアルトの研究者によって説明されたように, 次の番号は、それぞれのセキュリティ製品を表しています.

0x08000000 : ソソソ
0x02000000 : INCAInternet
0x04000000 : DoctorWeb
0x00200000 : Baidu
0x00100000 : コモド
0x00080000 : TrustPortAntivirus
0x00040000 : GData
0x00020000 : AVG
0x00010000 : BitDefender
0x00008000 : ウイルスチェイサー
0x00002000 : マカフィー
0x00001000 : パンダ
0x00000800 : トレンドマイクロ
0x00000400 : Kingsoft
0x00000200 : ノートン
0x00000100 : マイクロポイント
0x00000080 : Filseclab
0x00000040 : アンラボ
0x00000020 : 江民
0x00000010 : テンセント
0x00000004 : Avira
0x00000008 : カスペルスキー
0x00000002 : ライジング
0x00000001 : 360

そうは言っても, トレンドマイクロとSophosの両方が被害者のマシンで見つかった場合, 結果の値は0x08000800になります. 次に、値が次のファイルに書き込まれます:

→%APPDATA％ Intel avinfo

感染プロセスは悪意のあるRTFファイルによって開始されます. 2つの特定の脆弱性が悪用されます:

CVE-2012-1856

cve.mitre.orgから:

MicrosoftOfficeのMSCOMCTL.OCXの共通コントロールのTabStripActiveXコントロール 2003 SP3, オフィス 2003 WebコンポーネントSP3, オフィス 2007 SP2およびSP3, オフィス 2010 SP1, SQLサーバー 2000 SP4, SQLサーバー 2005 SP4, SQLサーバー 2008 SP2, SP3, R2, R2 SP1, およびR2SP2, コマースサーバー 2002 SP4, コマースサーバー 2007 SP2, コマースサーバー 2009 ゴールドとR2, ホスト統合サーバー 2004 SP1, Visual FoxPro 8.0 SP1, Visual FoxPro 9.0 SP2, およびVisualBasic 6.0 ランタイムにより、リモートの攻撃者は巧妙に細工された方法で任意のコードを実行できます (1) ドキュメントまたは (2) システム状態の破損をトリガーするWebページ, 別名 “MSCOMCTL.OCXRCEの脆弱性。”

CVE-2015-1641

cve.mitre.orgから:

マイクロソフトワード 2007 SP3, オフィス 2010 SP2, 語 2010 SP2, 語 2013 SP1, 語 2013 RT SP1, Mac用のWord 2011, Office互換性パックSP3, SharePointServer上のWordAutomationServices 2010 SP2および 2013 SP1, およびOfficeWebApps Server 2010 SP2および 2013 SP1により、リモートの攻撃者は細工されたRTFドキュメントを介して任意のコードを実行できます, 別名 “MicrosoftOfficeのメモリ破損の脆弱性。”

すべてが計画通りに進んだら, インストールしたら, T9000はシステムに関する情報を収集します, それをコマンドアンドコントロールサーバーに送信します, ターゲットシステムにマークを付けて、他のシステムと区別できるようにします.
感染したマシンが記録され、盗まれる可能性のある情報が特定されると, コマンドアンドコントロールサーバーは、特定のモジュールをすべてのターゲットに送信します.

これらのモジュールの1つ, またはプラグイン, 特に興味深いことがわかっています:

tyeu.dat: Skypeアクティビティをスパイに送信する; モジュールがインストールされて実行されたら, 次回Skypeを起動するとき, 「explorer.exeがSkypeを使用したい」というメッセージが表示されます.
tyeu.datもできます:

デスクトップのフルスクリーンショットをキャプチャする
ターゲットプロセスのウィンドウスクリーンショットをキャプチャする
Skypeオーディオをキャプチャする, ビデオ, とチャットメッセージ

T9000: 結論は

T9000バックドアマルウェアの進歩は、悪意のある攻撃者がいかに断固として資金を調達しているかを示す優れた証拠です。. T9000の作成者は、AVベンダーによる検出を回避し、リバースエンジニアの調査を回避するために最善を尽くしています。. 幸いなことに, パロアルトの研究者は、オンラインで利用できる彼らの膨大な分析を公に共有しました. 全体を見てください パロアルトネットワークスレポート.

加えて, そこにあるすべての組織にどれほど重要かを思い出させたいと思います インシデント対応 は:

• 準備. 企業は、更新されたセキュリティ対策の重要性について従業員とIT担当者を教育し、コンピュータとネットワークのセキュリティインシデントに迅速かつ適切に対応するようにトレーニングする必要があります。.
• 身元. 違反の可能性が発生するたびに、対応チームに通知されます, それがセキュリティインシデントなのか他の何かなのかを判断する必要があります. チームはしばしばCERTコーディネーションセンターに連絡するようにアドバイスされます, インターネットのセキュリティ活動を追跡および記録し、ウイルスおよびワームに関する最新情報を収集します。.
• 封じ込め. 対応チームは、問題の重大度と期間を決定します. 影響を受けるすべてのシステムとデバイスを切断して、さらなる損傷を防ぐこともできます.
• 根絶. 対応チームは調査を進め、攻撃の原因を明らかにします. 問題の根本的な原因とすべての悪意のあるコードの残りが根絶されます.
• 回復. データとソフトウェアはクリーンなバックアップファイルから復元されます, 脆弱性が残っていないことを確認する. システムは、欠陥の傾向の兆候がないか監視されます.
• 学んだ教訓. 対応チームは、攻撃とその対処方法を分析します, 将来のより良い対応とインシデント防止のための推奨事項を準備します.