米政府関連の改ざんサイトから IEゼロデイ → 「PoisonIvy」への攻撃連鎖を確認

2013年5月第1週、米国労働省の Webサイトが改ざんされていたことが確認されました。また、このサイト改ざんから、Internet Explorer(IE)に存在するゼロデイ脆弱性を利用して、不正プログラムを自動的にインストールする、「ドライブバイダウンロード」攻撃への連鎖が行われることも確認しています。

今回確認されたゼロデイ脆弱性は、影響を受けるアプリケーションの範囲がやや限定されており、Microsoft のセキュリティアドバイザリ(英語情報)によると、IE8 のみが対象となります。Windows Vista および Windows 7 の場合、IE9 以上より新しいバージョンに更新することで脆弱性が回避可能です。しかし Windows XP の場合、IE8 が利用可能な最新バージョンとなるため、ゼロデイ脆弱性の影響を受けてしまいます。

今回の攻撃で改ざんされた Webサイトを誤って閲覧すると、不正なスクリプト(「JS_DLAGENT.USR」として検出)が読み込まれることになります。そして「JS_DLAGENT.USR」は、他の不正サイト上にある不正スクリプト(「JS_KILLAV.AA」として検出)にユーザをアクセスさせます。「JS_KILLAV.AA」は、実行されると、“Adobe Reader” や ”Adobe Flash Player” のバージョンだけでなくセキュリティ製品やブラウザといった特定の情報を感染PC から取得します。そして、この不正スクリプト実行が発端となり、他の Webページへの誘導が繰り返され、最終的に不正な Webサイトへと導かれることになります。こうした不正Webサイトには IE8 のゼロデイ脆弱性を利用するエクスプロイトコード(「JS_EXPLOIT.MEA」として検出)が組み込まれたWebページも含まれています。

今回の攻撃では、「JS_EXPLOIT.MEA」は、実行されると脆弱性によりバックドア型不正プログラム「BKDR_POISON.MEA」をダウンロードします。「BKDR_POISON.MEA」は、「Remote Access Tool(RAT)」である「PoisonIvy」の検出名です。「PoisonIvy」はこれまで、世間の注目を集めたさまざまな標的型攻撃に利用されてきたRATです。特に、2011年7月以降に攻撃が始まり、特定の非政府組織(NGO)を標的とする、悪名高いサイバー攻撃「Nitro」と関連があります。また、アンダーグラウンド市場でも売買されており、広く世間に知られた、2011年の RSA情報漏えい事件にも利用されていました。

今回の攻撃で使用された複数の不正ドメインは、過去にも同労働省Webページの改ざん時に利用されていたものでした。「TrendLabs(トレンドラボ)」の解析によると、これらの不正ドメインは、そのほとんどがユーザを不審な広告サイトに誘導するものと判明しました。また、こうした不正ドメインの中には、迷惑メール内で偽医薬製品の広告サイトへと誘導するハイパーリンクに利用されているものも確認しています。さらに、トレンドラボでは、同労働省だけでなく、他の地方自治体の Webサイトにもこうした不正ドメインへのハイパーリンクがいまだ含まれていることに注視しています。

今回の事例は、2013年が始まって以来、何度も確認している著名アプリケーションを狙うゼロデイ攻撃の一例に過ぎません。こうしたゼロデイ攻撃に利用されるエクスプロイトコードは、今回同様に、ランサムウェア「REVETON」からその他のランサムウェアに POISONファミリのRATなどへと誘導・拡散する攻撃に幅広く利用されています。

■トレンドマイクロの対策
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、今回の攻撃で利用されたエクスプロイトコードや関連ファイルを検出し、削除します。なお、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のゼロデイ脆弱性を利用した攻撃から保護されます。

  • 1005491 – Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability(CVE-2013-1347)
  • 1004934 – Identified Malicious Java JAR Files – 1

    • トレンドマイクロでは、ユーザを保護するために Microsoft と協働しています。また、今回確認された問題のゼロデイ脆弱性を利用する他の脅威についても監視を継続しており、随時、詳細情報を同ブログ上でお知らせ致します。

    ※協力執筆者:Dexter To(Network Threat Researcher)

    参考記事:

  • Compromised US Government Webpage Points to PoisonIvy
     by Bernadette Irinco (Technical Communications)

    •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2010年を振り返る - 1)注目すべき不正プログラム「Top10」
    2. 改ざんされたWordPress使用のサイト、「Blackhole Exploit Kit」に誘導
    3. 2013年第 2四半期のセキュリティ動向:「サーバ」、「モバイル」、「人」の脆弱性
    4. 暗号化型ランサムウェアの侵入方法およびその対策について