BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース Kaspersky LabsがマルウェアRed Octoberの調査結果を発表

Kaspersky LabsがマルウェアRed Octoberの調査結果を発表

原文(投稿日:2013/02/08)へのリンク

 

1月半ば、Kaspersky Labsの研究員が、Red Octoberの攻撃者が伝達ベクタとしてJavaのRhinoエクスプロイトを使っていたことを明らかにした

Red October ("Rocra")は5年に渡るマルウエアキャンペーンであり未だに活動している。39カ国の外交や政府、科学研究機関などの組織のネットワークやモバイル端末に侵入し、機密情報を盗んでいる。

Kaspersky LabsはJavaの伝達ベクタの詳細な分析結果を公表した。それによると、攻撃者はJavaの脆弱性、Rhinoエクスプロイトを利用している。これはJavaランタイムの欠陥で、信頼されていないJava Web Startアプリケーションやアップレットが悪意のあるスクリプトを実行できてしまう。攻撃者は潜在的な被害者を細工したPHPページに遷移させるためのリンクを埋め込んだメールを送信する。Kaspersky Labsの報告書によれば、攻撃には3段階ある。まず、Rocraのサーバ上のPHPスクリプトがURLを暗号化しJavaアップレットに渡す。アップレット自体に復号化キーが含まれており、ダウンローダを被害者のディスクに書き込むためのURLを作成する。

 
Figure: Red October web page exploiting Java vulnerability (Courtesy: Kaspersky Labs)

攻撃の2段階目と3段階目ではダウンロードされたモジュールがWindowsのレジストリを書き換え、攻撃者のCommand-and-Control (C&C)サーバに定期的にHTTPリクエストを実行する。

seculert blogによれば、"このJARファイルは2012年2月にコンパイルされています。この脆弱性に対しては2011年10月時点でパッチが利用できていましたが、すでに知られている複数の脆弱性を利用する他に攻撃例もあります"。

2012年10月、Kaspersky Labのパートナー(Kaspersky Labsは氏名を公表していない)はこれらの攻撃がスピアフィッシング型攻撃(特定の個人や企業を直接狙った攻撃)やマルウェアモジュールだったと指摘している。また、同社は分析を通じて、Microsoft Word、Microsoft Excel、PDF、Javaの脆弱性を改ざんして攻撃者がPCやスマートフォン、コンピュータネットワークに侵入する攻撃を観測した。マルウェアに感染するファイルフォーマットは.cer, .crt, .txtなどだ。

 
Figure: The Red October Command-and-Control Network Infrastructure (Courtesy: Kaspersky Labs)

 

RocraとAuroraやNight Dragonなどの以前のマルウェアの違いはRocraは被害者のシステムの構成に従って細かくチューニングされており、より"パーソナル"で、システムに浸透して情報を取得しやすくなっていることだ。

The Kaspersky Labのベクタ分析の報告書によれば、

しかし、このベクタは攻撃者グループは盛んに使っていたわけではありません。悪意のあるコードのアーカイブである'.jar'を出力するphpをダウンロードしたところ、Javaのエクスプロイトを配送するコードはコメントアウトされていました ... 被害者のシステムはJavaの古いバージョンを利用していたのです。

RocraのようなマルウェアがJavaを盛んに攻撃対象にしている状況に対し、Oracleの最近の発表は徐々に重要になっている。これについては以前InfoQでも"Oracle Will Stop Providing Security Updates for Java 6 Next Month"という記事で報じている。Javaを常に最新にしておく、必要のある場合を除いてブラウザのJavaを無効にしておく、という一般的なアドバイスは未だに有効だ。

Kaspersky LabsはRed Octoberの状況を監視している。研究員グループは既にRed Octoberの脅威を検知し緩和する方法について発表している。

 

この記事に星をつける

おすすめ度
スタイル

BT