• TREND MICRO
検索:
  • サイバー攻撃
  • サイバー犯罪
  • モバイル
  • クラウド
  • ソーシャル
  • 脆弱性
ホーム   »   サイバー攻撃   »   仏テレビ局へのサイバー攻撃、「Njw0rm」の改訂版「Kjw0rm」が関与

仏テレビ局へのサイバー攻撃、「Njw0rm」の改訂版「Kjw0rm」が関与

  • 投稿日:2015年4月13日
  • 脅威カテゴリ:サイバー攻撃, TrendLabs Report
  • 執筆:Trend Micro
0

2015年4月8日(現地時間)、仏テレビネットワークを狙ったサイバー攻撃が確認されました。トレンドマイクロでは、この攻撃に関連する不正プログラムを「Remote Access Tool(RAT)」である「Kjw0rm」の亜種、「VBS_KJWORM.SMA」(MD5ハッシュ値:2962c44ce678d6ca1246f5ead67d115a)として検出します。なお、「Kjw0rm」は、2014年頃から利用されているようです。

■過去の標的型攻撃との関連性
弊社の初期の解析によると、「VBS_KJWORM.SMA」は「Sec-wOrm 1.2 Fixed vBS Controller」と呼ばれるハッキングツールで作成されていました。これは、RAT を作成するツールで、「HKTL_KJWORM」として検出されます。

トレンドマイクロでは、「Kjw0rm」についてすでに把握しており、2015年1月、「Njw0rm」のソースコードの流出により「Kjw0rm」を新たに確認したことを報告しています。「Kjw0rm」は、さまざまな不正プログラムを提供している「dev-point.com」のアラビア語のページで確認されました。

図1:「Dev4dz forum」から提供された RAT作成ツール「Sec-wOrm 1.2 Fixed vBS Controller」のスクリーンショット
図1:「Dev4dz forum」から提供された RAT作成ツール「Sec-wOrm 1.2 Fixed vBS Controller」のスクリーンショット。

弊社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network」のフィードバックによると、「VBS_KJWORM.SMA」は過去1週間で、南アフリカやインドを含む、少なくとも 12カ国で確認されました。この不正プログラムはアンダーグラウンドのフォーラムで入手でき、誰でも利用することが可能なため、これは驚くべきことではありません。

この問題の不正プログラムは、感染PC上でバックドア活動を実行するために利用することができます。また、今回の攻撃に利用されたコマンド&コントロール(C&C)サーバは、別のバックドア型不正プログラム「BKDR_BLADABINDI.C」との関連性が報告されています。調査の結果、弊社は「Kjw0rm」と「BLADABINDI」は、同一の攻撃者グループによるものであると考えています。

「Trend Micro Smart Protection Network」から、また、他の VBScript系不正プログラムも活動中であることも示唆されています。「Njw0rm」が利用するものとは異なる 4つの C&Cサーバが確認されており、「JENXCUS」を利用した過去の攻撃と関連しています。「JENXCUS」は、中南米地域で確認された「DUNIHI」を利用した攻撃と関連するVBScript系不正プログラムです。

■放送中止に追い込んだサイバー攻撃の影響力
報道によると、仏テレビネットワーク「TV5Monde」に対する大規模なサイバー攻撃は、2015年4月8日午後10時頃(現地時間)に始まり、同ネットワークにおける 11局で放送が中止になりました。

さらに、TV5Monde の Webサイトや Eメール、ソーシャルメディアのアカウントも攻撃を受けました。企業の Facebook のページ上には、「Islamic State in Iraq and the Levant(ISIL、イラク・レバントのイスラム国)」からとされる宣伝活動(プロパガンダ)のメッセージが投稿されました。また、同テレビ局の Twitter のアカウントの 1つが乗っ取られ、米国やフランスに向けたメッセージや、フランス兵の家族に対する脅迫文が投稿されました。さらに、フランス兵の身分証明書やパスポートなども公開されています。

なお、この攻撃で利用された手法の詳細は、まだ明らかになっていないことにご注意下さい。しかし、RAT作成ツールは攻撃者の複数のフォーラムで入手可能で、どのような攻撃者でも利用することができます。また、このツールを利用するのに、技術的な知識はほとんど必要ありません。

■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、不正プログラムと C&Cサーバの間で行われる通信をブロックします。また、「ファイルレピュテーション」技術により、上述の不正プログラムをエンドポイントで検出し、削除します。

また、弊社のネットワーク挙動監視ソリューションである「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、VBScript系不正プログラムを検出し、この種の攻撃から企業をさらに手厚く保護します。

参考記事:

  • 「Kjw0rm VBS Malware Tied To Attacks on French TV Station TV5Monde」
    by Trend Micro

 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

No related posts.


関連記事

関連記事はありません。

関連ホワイトペーパー

    カレンダー

    2015年4月
    日 月 火 水 木 金 土
    « 3月    
     1234
    567891011
    12131415161718
    19202122232425
    2627282930  
    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2014 Trend Micro Incorporated. All rights reserved.