更新情報:エクスプロイトキット「Styx」の関与が判明

トレンドマイクロは、2013年7月16日、エクスプロイトキットからファイル感染型ウイルスへと誘導する珍しい攻撃を報告しました。この攻撃が一層注目されている理由に、このファイル感染型ウイルスは、一般的なファイル感染型ウイルスには見られない、情報収集機能を備えていることがあげられます。これらのファイル感染型ウイルスは2010年に初めて注目された「PE_EXPIRO」と呼ばれるファミリに属しています。この特殊な攻撃は、組織の情報の収集や、Web サイト改ざんを意図した攻撃であるおそれがあります。

さらなる解析の結果、この攻撃において、エクスプロイトキットとして「Styx」が利用されていることが判明しました。Styx はコンピュータにマルウェアを届ける役目をするという点でメディアの注目を集めました。この特殊な攻撃で使われる Styx は、他のエクスプロイトキットと比べ、次の点で異なります:

  • 複数のエクスプロイトページ利用 – Styx は、HTTP リダイレクトにより接続される複数のページに不正なスクリプトを挿入する
  • IFRAME データの受け渡し – Styx は、JavaScript を介してIFRAMES のデータにアクセスする
  • 大抵のエクスプロイトキットが1ページだけ利用するのに対し、複数ページに渡って不正なスクリプトを挿入するという行為は極めて珍しいものです。さらに、エクスプロイトキットは、通常 HTML タグ内にデータを保存し、JavaScript を介してアクセスをしますが、この点においても Styx は異なります。他のエクスプロイトキットが同一の HTML ページ内にデータを保存する一方で、Styx は、他の IFRAME 上にタグを設置します。これら2つの手法は、検出を回避するためのものだと思われます。

    前回の報告において、この攻撃で利用したいくつかの脆弱性について言及しましたが、その後の解析結果から、「TROJ_PIDIEF.XJM」が ”Adobe Reader” と ”Adobe Acrobat” の特定のバージョンに影響する古い脆弱性「CVE-2010-0188」を利用していたことが明らかになりました。古い脆弱性の利用と情報収集機能を備えた「PE_EXPIRO」ファミリの組み合わせは、今日の世界で、古くも巧妙な脅威がいまだ存在するさらなる証拠であります。

    定期的なシステムのアップデートはこれらの攻撃からの感染を防ぐことができます。トレンドマイクロはこの攻撃に関連するすべての URL をブロックします。弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、関連する Java ファイルをブロックします。

  • 1005598-Identified Malicious Java JAR Files – 3
  • 1005599-Identified Malicious PDF Document – 10
  • 1005410-Oracle Java Runtime Environment Remote Code Execution Vulnerability(CVE-2013-1493)
  • ※協力執筆者:Kai Yu、Mark Tang、 Michel Du、Pavithra Hanchahaiah および Manoj Subramanya

    参考記事:

  • More Details on EXPIRO File Infectors
     by Trend Micro
  •  翻訳:木内 牧 (Core Technology Marketing, TrendLabs)