医療費通知を装うウイルスメールがバラ撒かれてるらしい サイバー攻撃 Emdiviウイルス
健康保険組合を名乗って「医療費通知」をネタにしたウイルスメールうんぬん注意喚起がたくさん挙がってたのでテキトーに。。。
■ 10月30日 当社を騙る電子メールにご注意ください 「インフォコム㈱の名称を不正に使用した医療費通知に関する注意喚起」 (インフォコム株式会社)
http://www.infocom.co.jp/info/notice/2014/p14103001.html
http://www.infocom.co.jp/info/notice/2014/p14103001.html
当社名を無断使用して当社の医療費通知のお知らせに似せた文書にウィルスファイルが添付されたメールが複数の企業宛へ送付されたとの報告が一般社団法人 JPCERTコーディネーションセンターからありました。
■ 10月29日 医療費通知を装ったウィルスメールにご注意ください (HOYA健康保険組合)
http://hoya-kenpo.or.jp/osirase/
http://hoya-kenpo.or.jp/osirase/
Web健康情報ポータルの医療費通知のお知らせに似せた文書にウィルスファイルが添付されたメールが複数の企業宛へ送付されたとの報告がシステム運営会社からありました。
■ 10月29日 健保組合からのお知らせを装ったウィルスメールにご注意下さい (Universal Business Solutions)
http://www.ubsc.co.jp/topics/information/179/
健保組合からの医療費額のお知らせと偽り、ウィルスファイルが添付されたメールが複数の企業宛に送付されたとの報告が一般社団法人 JPCERTコーディネーションセンターからありました。
■ 10月3日 医療費通知を装った不審なメールにご注意下さい。 (荒川区)
http://www.city.arakawa.tokyo.jp/kurashi/kokuho/shiteihoyo/iryouhituti.html
http://www.city.arakawa.tokyo.jp/kurashi/kokuho/shiteihoyo/iryouhituti.html
最近、医療費通知を装った不審なメールが、国民健康保険加入者の方に送信されるという事案がありました。
某大手商社において所管の健康保険組合の名前を語った「医療費のお知らせ」メールが当該社員に送られ、開封した結果、ウイルスに感染するという事故が発生しました。
グループ会社の被保険者(従業員)宛に、「健康保険組合」名の不審メールが送られました。
<追記...>
このウイルス付き偽メールは標的型サイバー攻撃になるそうで…。
■ 濵田さんはTwitterを使っています: "標的型攻撃メールにBackdoor.Emdiviが添付 http://t.co/CvhoSfR2iS RT @piyokango 健保を騙って対象の組合員に対して不審なメールが飛んでいるということ?"
https://twitter.com/JojiHamada/status/529812827913981953
■ 濵田さんはTwitterを使っています: "PC上でBackdoor.Emdiviが検出されてた場合、アジアのある国の組織に狙われている。昨今は無差別に近い標的型攻撃。"
https://twitter.com/JojiHamada/status/530359596645236736
■ 医療費通知に偽装した不審メールが法人利用者に遠隔操作ツールを拡散 BKDR_EMDIVI (トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/10251
■ 健康保険組合になりすました不審なメールについて (マクニカネットワークス)
http://blog.macnica.net/blog/2014/11/post-fca5.html
この攻撃で使われたウイルスの1つと思われるブツが Malwr にアップされてました。
> malwr.com/analysis/YjBhYTg4YjI4NWE3NGY3Yzg2YmJlNmI5Y2JhYmQ2NzM/
アイコン画像を偽装してWord文書っぽく見せかけた実行ファイル(拡張子 *.exe)を起動することで、メインのバックドアが裏でドロップされるようになってます。
同じタイミングで、無害なダミーの医療費通知文書(拡張子 *.doc)も開いて、ウイルスを実行したことに気づかせないようユーザーをうまく欺きます。
ダミー文書... 健康保険組合運営事務局
医療費通知のお知らせ1.exe
医療費通知のお知らせ2.exe
MD5 3b2b36edbf2934c7a872e32c5bfcde2a
ttps://www.virustotal.com/ja/file/8c3df4e4549db3ce57fc1f7b1b2dfeedb7ba079f654861ca0b608cbfa1df0f6b/analysis/1412862605/
→ leassnp.exe
MD5 8bf944283987de847851d3d2279b8cf8
ttps://www.virustotal.com/ja/file/b99f08be6a476d359820c48345ddf4f2f0fcc1ca041f3630680635c675a1d7be/analysis/1412866821/
→ kptl.doc ... ダミーのWord文書 無害
<追記...> 関連する別のファイルをてきとーに。
Windowsパソコンをターゲットに、セキュリティ会社が Emdivi(エムディヴィ) と名づけたウイルスの感染を狙ってます。
シマンテック Backdoor.Emdivi
トレンドマイクロ BKDR_EMDIVI
トレンドマイクロ BKDR_EMDIVI
攻撃グループは、だいぶ前にはFlash Playerの脆弱性(CVE-2012-5054)、最近では一太郎の脆弱性(CVE-2014-7247)を悪用するゼロデイ攻撃をぶっ込んできてるそうで、無差別にバラ撒かれるウイルスメールとは質が違うみたい。
医療費通知のお知らせ.exe
[MD5 fa0c1790668cfb7733dcfb3561359910]
ttps://www.virustotal.com/ja/file/7e460fecda712b2ca0eed14b6ea480b4276e843e13cc9e7b17836f8e356c5ad2/analysis/1411692305/
健康保険のお知らせ.exe
MD5 32fe3b8335b2882d0ff48293a8ee0026
ttps://www.virustotal.com/ja/file/4a2a9b6a5fedd8de12a963effb7b800b7953c017c8a73a8ef353d661c879d137/analysis/1413956692/
健康保険のお知らせ.jtd
MD5 c45705a2f204ef3ca9321735790b88be
ttps://www.virustotal.com/ja/file/dd06173751257c9a8f24babbc1179e433f1bae5c2b841763b95c1c6890e5b983/analysis/1415323547/
■ CloudyOmega 攻撃: 一太郎のゼロデイ脆弱性を悪用して日本を継続的に狙うサイバースパイ攻撃 (Symantec)
http://www.symantec.com/connect/ja/blogs/cloudyomega
http://www.symantec.com/connect/ja/blogs/cloudyomega
<2015年6月 追記...>
一連の攻撃グループにより日本年金機構が餌食に!
業務に絡む内容のウイルスメールによるサイバー攻撃で、Emdiviウイルスに感染して年金に関連する大量の個人情報が流出するすえううぇあヴぁ。。。 <アカン!
ところで、この重大なインシデントを『ウイルスメールというしょぼい手口はサイバー攻撃とは言えない!』なんて揶揄する話を見かけるけど、標的型攻撃メールについての資料を読んでいれば、そういう考えには行き着かないと思うけれども…。
■ 特定の企業・組織を狙う「標的型攻撃メール」 パソコンにウイルスを送り込むなりすましメールに注意 (IPA 情報処理推進機構)
http://www.ipa.go.jp/security/keihatsu/pr2012/general/02_targeted_attack.html
http://www.ipa.go.jp/security/keihatsu/pr2012/general/02_targeted_attack.html
■ プレス発表 サイバー情報共有イニシアティブ(J-CSIP)2014年度 活動レポートの公開 (IPA 情報処理推進機構)
https://www.ipa.go.jp/about/press/20150527.html
https://www.ipa.go.jp/about/press/20150527.html