寄稿: Jeet Morparia
Oracle の Java ランタイム環境に存在するリモートコード実行の脆弱性(CVE-2012-4681)が、Nitro の攻撃者によって標的型攻撃に利用されていることは、何週間か前にこのブログでもご報告しました。最近になってシマンテックは、別のグループがこの脆弱性を悪用しており、被害が出ていることを確認しました。Taidoor を使う攻撃者グループです。
Taidoor の攻撃者がこの脆弱性を利用し始めたのは、概念実証(POC)が公開された頃のことで、シマンテックは 8 月 28 日に、CVE-2012-4681 の脆弱性を悪用する悪質なファイル Ok.jar(Trojan.Maljava!gen24)を確認しています。脆弱性が悪用されると、ペイロードである実行可能ファイル Javaupdate.exe が投下され、それによって侵入先のコンピュータでバックドアが開かれます。これが Trojan.Taidoor です。
図 1. Ok.jar のコードスニペット
Taidoor の攻撃者がこのゼロデイ脆弱性(8 月 30 日にパッチが公開されています)を使ったのは、これが初めてでした。これ以前の Taidoor 攻撃者は、Taidoor に関するホワイトペーパー(英語)でシマンテックが指摘しているとおり、標的のコンピュータでソフトウェアのパッチがまだ適用されていないことを期待して、パッチ公開済みの既知の脆弱性を利用していました。
図 2. 両天秤の手口 - ゼロデイ脆弱性の悪用が加わった Taidoor
Java のゼロデイ脆弱性を使うだけでなく、この攻撃者はソフトウェアの脆弱性に頼らずにソーシャルエンジニアリングの手口を仕掛けていることも確認されています。ユーザーの誘導には、台風 14 号「テンビン」(今年の 8 月、東南アジアから東アジアを襲った大型の台風)による被害についてのメールが使われました。次に示す一例では、台湾の蘭嶼島における被害状況が語られています。
図 3. 悪質なファイルが添付された電子メール
このメールの内容は以下のとおりです(翻訳)。
蘭嶼島、史上最悪の天災により壊滅的な被害
台風「テンビン」は台湾から過ぎ去ったものの、蘭嶼島は全土が風速 50 m/秒以上という強風により壊滅的な被害を受けました。島内唯一のスーパーマーケットやガソリンスタンドも吹き飛ばされてしまいました。多くの建物と公共の施設も完璧に破壊されました。全島がいまだに停電中です。島民たちは、外部からの一刻も早い支援を必要としています。同島史上で最も深刻な被害状況です。
電子メールには、.zip ファイルが添付されています。添付ファイルの中身は、台風 14 号が蘭嶼島にもたらした被害を示す画像です。これは確かに、インターネット上で見つかる本物の写真ですが、そのほかに .scr ファイルも入っています。ユーザーがこのファイルに気づかず、(他の画像ファイルと同じように)うっかり開いて実行してしまうことを攻撃者は狙っているのです。.scr ファイルを実行すると、Trojan.Taidoor がコンピュータに投下されますが、ユーザーには依然として他の写真が表示され続けます。シマンテック製品は、.scr ファイルを Trojan.Dropper として検出し、ユーザーを保護します。
パッチ公開前の脆弱性を攻撃の手段に加えるのは、Taidoor の攻撃者グループとしては初めてのことで、この推移は注目に値します。今後も、ゼロデイ脆弱性の悪用は、このグループの常套手段となるのでしょうか。Elderwood プロジェクトとは異なり、Taidoor を操る攻撃者が独自のゼロデイ脆弱性を次々と悪用できるとは考えられませんが、この新しい展開によって両天秤にかけていることは間違いありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。