【情報】3322, 8866 and others


There's been quite a lot of buzz about the new 0-day Word vulnerability.
新しい0日間の Word 弱点について非常に多くのブンブンいう音がありました。

While talking about details of the vulnerability, it's easy to forget what the vulnerability was actually used for.

According to the information we have, a US-based company was targeted with emails that were sent to the company from the outside but were spoofed to look like internal emails.

8866The emails contained a Word DOC file as an attachment. DOCs are a nasty attack vector. Few years ago, when macro viruses were the number one problem, many companies were not allowing native DOC files through their email gateways. Now that has changed, and DOCs typically get through just fine. But Word has vulnerabilities and users typically don't install Word patches nearly as well Windows patches.
電子メールはアタッチメントとして Word ドクターファイルを含みました。 DOCs は不快な攻撃ベクトルです。 ほとんど年前に、マクロウイルスがナンバー1の問題であったとき、多くの会社が(彼・それ)らの電子メールゲートウェイを通ってネイティブのドクターファイルを許していなくはありませんでした。 今それは変化しました、そして DOCs は典型的にただ素晴らしくて成し遂げます。 けれども Word は弱点を持っています、そしてユーザーが典型的にほとんど元気な Windows のパッチとして Word のパッチをインストールしません。

When run, the exploit file ran a backdoor, hid it with a rootkit and allowed unrestricted access to the machine for the attackers, operating from a host registered under the Chinese 3322.org domain.
走らせられるとき、 exploit ファイルはバックドアを走らせて、 rootkit でそれを隠して、そして、中国語の 3322.org ドメインの下で登録されたホストから稼働して、攻撃者にマシンへの無制限のアクセスを割り当てました。

3322.org is a free host bouncing service in China. Anybody can register any host name under 3322.org (like whatever.3322.org) and the service will point that hostname to any IP address you want. There's actually a series of such services, including 8866.org, 2288.org, 6600.org, 8800.org and 9966.org. There are tons of useful things you can do with such host-resolving service. And tons of bad things too.
3322.org は中国でサービスを跳ね上げる無料のホストです。 誰でも(whatever.3322.org のような) 3322.org の下でどんなホスト名でも登録することができます、そしてサービスはあなたが欲するどんな IP アドレスにでもそのホスト名を向けるでしょう。 8866.org 、 2288.org 、 6600.org 、 8800.org と 9966.org を含めて、実際にこのようなサービスのシリーズがあります。 あなたがこのようなホストを変換するサービスですることができる有用なことのトンがあります。 そして同じく良くないことのトン。

Now, we've seen these kinds of attack before.

In March 2005, somebody was sending out dozens of emails to US government email addresses, spoofed to be from Washington Post. The email content talked about "international IPR conventions China has acceded to". The attached DOC file dropped a backdoor that connected to a host under 8866.org.
2005年3月に、誰かが、「ワシントン・ポスト」からであるためにペテンにかけられて、合衆国政府の電子メールアドレスに多数の電子メールを送っていました。 電子メール内容は「中国が応じた国際 IPR 会議」について話をしました。 付加されたドクターファイルは 8866.org の下でホストに接続したバックドアを落としました。

In September 2005, somebody sent several batches of EU-themed emails to addresses at the EU Parliament. Email topics included "Parliamentary Assembly", "Assembly of Council of Europe" and "Parliamentary Assembly Declaration". Emails contained a DOC that connected to a host under 3322.org.
2005年9月に、誰かがEU議会でアドレスに数回分のEUをテーマにした電子メールを送りました。 電子メールトピックが「議会の議会」、「ヨーロッパ会議の議会」と「議会の議会公表」を含みました。 電子メールが 3322.org の下でホストに接続したドクターを含みました。

In March 2006, a big European company received emails that were spoofed to look like internal job applications. The attached DOC file dropped a backdoor that connected to a host under 3322.org.
2006年3月に、大きいヨーロッパの会社が内部の求職申し込みのように見えるために偽装された電子メールを受け取りました。 付加されたドクターファイルは 3322.org の下でホストに接続したバックドアを落としました。

In April 2006, another European company was targeted by a similar attack, this time connecting to a host under 8866.org.
2006年4月に、もう1つのヨーロッパの会社が、今回は 8866.org 以下のホストに接続して、類似の攻撃によって目標を定められました。

And now in May 2006, this latest case complete with a zero-day exploit, connecting to a host under 3322.org.
そして2006年5月、 3322.org の下でホストに接続しているゼロ日 exploit を完備したこの最近の事例で今。

So, should you block access to hosts under 3322.org, 8866.org and others? Depends. It's kind of like blocking access to Geocities: you'd block lots of bad stuff - and lots of good stuff. But then again, most users of these services are in China. If you're not in China and your users are not supposed to access different Chinese services, blocking might not break too many things.
それで、あなたは 3322.org 、 8866.org と他のものの下でホストへのアクセスを阻止するべきですか? 事情によります。 それはまあ Geocities へのアクセスを阻止するようです:あなたはたくさんの良くない物 - そしてたくさんの良い物をブロックするでしょう。 けれどもそれから再び、これらのサービスのたいていのユーザーが中国にいます。 もしあなたが中国にいなく、そしてあなたのユーザーが異なった中国のサービスにアクセスするはずではないなら、ブロックすることはあまりに多くのことを破らないかもしれません。

We'd recommend you'd at least check your company's gateway logs to see what kind of traffic you have to such services.