トレンドマイクロでは、自身を隠ぺいするエクスプロイトキットが2013年に登場すると予想しています。このようなエクスプロイトキットが初めて確認されたのが、2013年2月上旬に登場した、「WhiteHole Exploit Kit(WHEK)」でした。WHEKは、今年1月にも話題にのぼった問題の脆弱性「CVE-2013-0422」を含む複数の脆弱性を利用しました。
そしてまた、「Neutrino」と呼ばれる新たなエクスプロイトキットが、アンダーグラウンドマーケットで販売されていることが報告されています。このエクスプロイトキットで作成される脆弱性攻撃コード(エクスプロイト)(トレンドマイクロ製品では「JAVA_EXPLOYT.NEU」として検出されます)は、以下の脆弱性を利用します。
このエクスプロイトにより、Java 7 Update 11 およびそれ以前のバージョンを使用するコンピュータが影響を受けます。脆弱性攻撃が成功すると、「JAVA_EXPLOYT.NEU」は、「TROJ_RANSOM.NTW」、または身代金要求型不正プログラム(ランサムウェア)の他の亜種をダウンロードします。ランサムウェアは、通常、ユーザが特定の金額つまり身代金を支払うまで、コンピュータをロックします。ランサムウェアの詳細は、リサーチペーパー「Police Ransomware Update」をご参照ください。
「CVE-2013-0431」の脆弱性は、BlackHole Exploit kit(BHEK)によるスパムメール攻撃においても利用されていました。このスパムメール攻撃は、オンライン決済サービス「PayPal」のメールを偽装していました。Oracle はこの脆弱性への対応のため、Java の緊急修正プログラムを公開しましたが、この修正プログラムには、問題や懸念事項がありました。一方、「CVE-2012-1723」は、BHEK および WHEK による攻撃によっても利用されました。
■「Neutrino」の機能
Neutrino の機能の特徴として、以下が挙げられます。
アンダーグラウンドフォーラムによると、Neutrino の背後に潜むサイバー犯罪者たちは、メンテナンスサービス付きのサーバのレンタルサービスも提供しています。Neutrino のレンタル料は、1日40米ドル(2013年3月15日の時点では約3千800円)、1カ月450米ドル(約4万3千円)の価格となっています。また、Senior Threats Researcher の Max Goncharov によると、Neutrino に関わるサイバー犯罪者たちは、金銭目的で2012年から iframeの トラフィックを購入していることで知られていました。そして、こういったエクスプロイトキットを自身で作り上げ、アンダーグラウンドで販売するようになったとのことです。
Neutrino の用途は、他のエクスプロイトキットと類似しています。しかし、上述した Neutrino の機能から、サイバー犯罪者が、非常に巧妙かつ組織化されてきていることが伺えます。
参考記事:
by Anthony Joe Melgarejo (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)