2013年7月中旬、思いがけない脅威を組み合わせた、珍しい攻撃が確認されました。この攻撃は、とりわけ Java および PDF ファイルに存在する脆弱性を利用するエクスプロイトコードを含んだエクスプロイトキットを利用し、脆弱性が存在する PC にファイル感染型ウイルスム「PE_EXPIRO」をもたらします。今回確認された攻撃で注目すべき点は、「PE_EXPIRO」は、典型的なファイル感染型ウイルスとは異なり、情報収集機能を備えていることです。この「PE_EXPIRO」と呼ばれるファミリは、2010年に初めて注目されました。
この感染の連鎖は、以下のように展開されます。
- ユーザは、エクスプロイトキットが組み込まれた不正なWeb サイトへ誘導される。エクスプロイトキットは、複数のエクスプロイトコードを利用し、2013年7月15日時点、Javaの脆弱性「CVE-2012-1723」および「CVE-2013-1493」を突くエクスプロイトコードが確認されている(「JAVA_EXPLOIT.ZC」として検出)。また、PDF ファイルに存在する脆弱性を利用するコードも確認(「TROJ_PIDIEF.JXM」として検出)。
- どの脆弱性が利用されてとしても、結果的には、「PE_EXPIRO.JX-O」、「PE_EXPIRO.QW-O」または 64 bit 対応の「PE64-EXPIRO-O」のいずれかとして検出されるファイル感染型ウイルスに PC が感染。
- 問題のファイル感染型ウイルスは、感染 PC 上で感染活動のために実行ファイルを検索。この実行ファイルの検索は、リムーバブルドライブや共有、ネットワークドライブといったアクセス可能なすべてのドライブに存在するフォルダ、すべてが対象となります。これにより感染したファイルは、「PE_EXPIRO.JX」として検出される。
- このウイルスは、Windows のプロダクト ID やドライブボリュームのシリアル番号、Windows の種類といったコンピュータの情報やユーザのログイン認証情報を収集する。また FTP クライアント “Filezilla” にログイン認証情報が保存されている場合、そのアカウント情報を収集する。
- 収集された情報は、DLL ファイルに保存され、複数のコマンド&コントロール(C&C)サーバへアップロードされる。
以下は、Java の脆弱性を利用するエクスプロイトコードによる感染フローの一例です。
 |
|
|
今回の感染確認総数の約70%は、米国内で確認されたものでした。またこの攻撃は、特定の FTP クライアントを対象としていることから、組織からの情報を収集し、または Web サイトの改ざんを目的としている可能性があります。脆弱性を利用し、情報収集機能を備えるファイル感染型ウイルスをもたらすといった複数の脅威を組み合わせた攻撃は、非常にまれであり、この攻撃がすぐに入手可能なサイバー犯罪用ツールを利用したものではないことを物語っています。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、今回の攻撃で利用されたエクスプロイトコードや関連ファイルを検出し、削除します。
※協力執筆者:Dexter To、Kai Yu および Jethro Bacani
参考記事:
by Rhena Inocencio (Threat Response Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)