RSASecurID攻撃で使用されるPoisonIvyTrojanは依然として人気があります

セキュリティベンダーのFireEyeによると、RSAのSecurIDインフラストラクチャをハッキングするためにおそらく最も有名に使用されている悪意のあるソフトウェアツールが、標的型攻撃で引き続き使用されています。

Poison Ivyは、8年前にリリースされたリモートアクセス型トロイの木馬(RAT)ですが、依然として一部のハッカーに支持されていると、FireEyeは水曜日にリリースされた新しいレポートに書いています。使い慣れたWindowsインターフェイスを備えており、使いやすく、キーストロークを記録したり、ファイルやパスワードを盗んだりできます。

[セキュリティの専門家であるRogerA。Grimesが、最新の脅威のガイド付きツアーを提供し、「Fight Today's Malware」のショップトークビデオで、脅威を阻止するためにできることを説明しています。| のSecurityAdviserブログとSecurityCentralニュースレターで、主要なセキュリティ問題についていく。]

Poison Ivyはまだ広く使用されているため、FireEyeは、セキュリティアナリストがその使用を特定のハッキンググループに関連付けるのは難しいと述べました。

その分析のために、同社は2008年までの攻撃で使用されたPoison Ivyの194のサンプルを収集し、攻撃者がRATにアクセスするために使用したパスワードと使用されたコマンドアンドコントロールサーバーを調べました。

3つのグループ(そのうちの1つは中国に拠点を置いているようです)は、少なくとも4年前から、標的型攻撃でPoisonIvyを使用しています。FireEyeは、ターゲットのコンピューターに配置したPoison Ivy RATにアクセスするために使用するパスワード(admin338、th3bug、menuPass)によってグループを識別しました。

グループadmin388は、早くも2008年1月に活動しており、ISP、通信会社、政府機関、防衛部門をターゲットにしているとFireEyeは書いています。

被害者は通常、スピアフィッシングメールでそのグループの標的にされます。このメールには、PoisonIvyコードを含む悪意のあるMicrosoftWordまたはPDFの添付ファイルが含まれています。電子メールは英語ですが、電子メールメッセージの本文には漢字セットが使用されています。

Poison Ivyの存在は、リアルタイムで手動で制御する必要があるため、攻撃者によるより目の肥えた関心を示している可能性があります。

「RATははるかに個人的なものであり、組織に特に関心のある専用の脅威アクターと取引していることを示している可能性があります」とFireEyeは書いています。

組織がPoisonIvyを検出できるように、FireEyeは「Calamine」をリリースしました。これは、暗号化をデコードし、何を盗んでいるかを把握するために設計された2つのツールのセットです。

盗まれた情報は、リモートサーバーに送信される前に、256ビットキーのCamellia暗号を使用してPoisonIvyによって暗号化されるとFireEyeは書いています。暗号化キーは、攻撃者がPoisonIvyのロックを解除するために使用するパスワードから取得されます。

攻撃者の多くは、デフォルトのパスワード「admin」を使用するだけです。ただし、パスワードが変更された場合は、Calamineのツールの1つであるPyCommandスクリプトを使用してパスワードを傍受できます。次に、2番目のカラミンツールがPoison Ivyのネットワークトラフィックを復号化して、攻撃者が何をしているかを示すことができます。

「カラミンは、ポイズンアイビーを使用する断固とした攻撃者を止められないかもしれない」とファイアアイは警告した。「しかし、それは彼らの犯罪的努力をはるかに困難にする可能性があります。」

ニュースのヒントやコメントを[email protected]に送信してください。Twitterでフォローしてください:@jeremy_kirk。