2011 年 10 月にシマンテックは、ある標的型攻撃に関する調査を文書にまとめました。これは、『The Nitro Attacks』として公開されています。このときの攻撃で標的とされたのは、主として化学系企業でした。この攻撃の隠れた真相を探り公表することにシマンテックは腐心しましたが、攻撃はとどまるところを知らず、それどころかシマンテックのレポートがソーシャルエンジニアリング攻撃に悪用されるという事態にも至りました。
その一方で、攻撃者の努力は次の段階に進んでいます。というのも、先日のブログでお伝えしたように、Java の新しいゼロデイ脆弱性が悪用されていますが、今回の攻撃に関与している攻撃者の一部が、実は Nitro の犯人グループであることがわかりました。
Nitro の犯人グループがこれまで使ってきたのは、標的に電子メールを送信するという手口です。この電子メールに、パスワードで保護された自己解凍形式の zip ファイルが添付されています。その電子メールでは、インストール率の高い特定のソフトウェアに対する更新であると称していますが、添付ファイルを解凍して実行すると、Backdoor.Darkmoon(別名、Poison Ivy)に感染してしまいます。
いちばん新しい攻撃では、さらに高度なテクニックが導入されたようです。Web サイト上に .jar ファイルを置くという形で Java のゼロデイ脆弱性が利用され、そこから被害者のコンピュータに感染します。以前の添付文書と同様に、攻撃者は Backdoor.Darkmoon を使っています。コマンド & コントロールサーバーの仕組みを再利用しているほか、「Flash_update.exe」などのファイル名まで再利用しています。標的のユーザーに、悪質な jar ファイルへのリンクが記載された電子メールを送信している可能性も高いと思われます。Nitro の攻撃者は、以前からの攻撃を継続しているようです。
技術的な詳細 攻撃者はこのゼロデイ脆弱性を少なくとも 8 月 22 日から使っています。マルウェアの供給に利用されていたのは、危殆化した 2 つの Web サイトです。
この悪用によってダウンロードされるマルウェアのひとつは、4a55bf1448262bf71707eef7fc168f7d(hi.exe または Flash_update.exe)として特定されています。
特定されたサンプルは、hello.icon.pk というドメインに接続し、これは 223.25.233.244 に解決されます。これは、2011 年に Nitro の攻撃者が使っていたのと同じ IP アドレスです。
今回見つかった Java の悪用を、シマンテックは Java.Awetook として検出します。権限昇格の脆弱性が悪用されており、これは、システムクラスのうち、保護されていて本来はアクセスを許可されていないメンバーにアクセスできるクラスに原因があります。このために、悪質なコードはサンドボックスによる制限をすり抜けて "getRuntime().exec()" 関数を実行し、悪質なペイロードを実行できるようになります。シマンテックのテストで、このゼロデイ脆弱性は最新バージョンの Java(JRE 1.7)に対して機能し、古いバージョンである JRE 1.6 には影響しないことが確認されました。この悪用の概念実証は公開されており、脆弱性は Metasploit にもすでに追加されています。
今回の悪用は、次の IPS シグネチャで検出されます。
[2012 年 8 月 31 日更新] - Oracle 社から、CVE-2012-4186 に対処するパッチとして Java SE 7 Update 7 が公開されました。最新の更新をダウンロードすることをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。