セキュリティベンダー AlienVault の研究者らは、標的のコンピュータに PlugX リモート アクセス トロイの木馬 (RAT) プログラムを感染させるために使用される、最近発見された Internet Explorer エクスプロイトの亜種を特定しました。
新たに発見されたエクスプロイトの変種は、元のエクスプロイトと同じ、IE 6、7、8、9 のパッチ未適用の脆弱性を狙っているが、若干異なるコードを使用し、異なるペイロードを持っていると、AlienVault Labs のマネージャー Jaime Blasco 氏が火曜日のブログ投稿で述べた。
最初のエクスプロイトは、セキュリティ研究者のEric Romang氏によって週末に既知の悪意のあるサーバー上で発見され、Poison Ivy RATを拡散しました。AlienVaultの研究者によって発見された2番目のエクスプロイトバージョンは別のサーバー上で発見され、PlugXと呼ばれるはるかに新しいRATプログラムをインストールします。
しかし、両方のサーバーで確認されたファイルの変更日付は、このエクスプロイトの両方のバージョンが少なくとも 9 月 14 日から使用されていたことを示唆しています。
「PlugXマルウェア(別名Flowershow)を積極的に利用していたグループは、Internet Explorerのゼロデイ(未修正の脆弱性を狙ったエクスプロイト)が発見される数日前からアクセスしていたことが分かっています」とブラスコ氏は述べた。「今回発見されたエクスプロイトコードと数日前に発見されたコードとの類似性から、両方の事例の背後には同じグループがいる可能性が非常に高いです。」
AlienVaultの研究者たちは、今年初めからPlugX RATを使った攻撃を追跡してきました。マルウェア内で発見されたファイルデバッグパスに基づき、この比較的新しいRATはWHGと呼ばれる中国人ハッカーによって開発されたと研究者たちは考えています。WHGは、中国の著名なハッカーグループであるNetwork Crack Program Hacker(NCPH)と過去に関係を持っていました。
AlienVaultの研究者たちは、過去に新しいIEエクスプロイトを配信していた2つのウェブサイトも特定したが、ペイロードは取得できなかったとBlasco氏は述べた。1つはインドの防衛ニュースサイトで、もう1つはおそらく第2回国際LEDプロフェッショナルシンポジウムのウェブサイトの偽バージョンだろうとBlasco氏は述べた。(「悪質ウェブアプリ:見分け方と対策」も参照。)
「このゼロデイ攻撃の背後にいる者たちは特定の業界を狙っていたようだ」とブラスコ氏は語った。
元のIEのエクスプロイトが発見されたサーバーには、先月、未修正のJavaの脆弱性を悪用したエクスプロイトも保存されていました。このJavaのエクスプロイトは、セキュリティ研究者が「Nitro」と呼ばれる中国のハッカーグループによるものとしている攻撃に使用されました。
マイクロソフトはすでに、新しい IE の脆弱性に関するセキュリティ アドバイザリを公開しており、パッチの適用中は一時的な緩和策を推奨している。
