ウイルス対策ベンダーのシマンテックの研究者によると、先週発見された、これまで知られていなかったJavaの脆弱性を悪用した攻撃は、セキュリティ企業Bit9とその顧客を以前に標的にしたのと同じ攻撃者によって実行された可能性が高いという。
先週、新たな Java 攻撃を発見した FireEye のセキュリティ研究者は、Java の脆弱性を突く攻撃により McRAT と呼ばれるリモート アクセス マルウェアがインストールされると述べています。
シマンテックの研究者らは金曜日のブログ投稿で、シマンテック製品が「Trojan.Naid」として検出するこの脅威は、110.173.55.187 IP(インターネットプロトコル)アドレスを使用してコマンドアンドコントロール(C&C)サーバーに接続すると述べた。
「興味深いことに、Trojan.Naidのサンプルは、Bit9セキュリティインシデントアップデートで解説されている侵害されたBit9証明書で署名されており、別の組織への攻撃にも使用されていました」と研究者らは述べています。「このサンプルは、バックチャネル通信サーバーのIPアドレス110.173.55.187も使用していました。」
証明書が盗まれた
ホワイトリスト技術を用いたセキュリティ製品を販売するBit9は先月、ハッカーが同社のサーバーの一つに侵入し、同社のデジタル証明書の一つを使ってマルウェアに署名したと発表した。同社によると、このマルウェアはその後、複数の米国組織に対する攻撃に使用されたという。
「標的となった3つの組織へのその後の攻撃では、攻撃者は既に特定のウェブサイトに侵入していたようです(Facebook、Apple、Microsoftが最近報告した水飲み場型攻撃に類似しています)。」と、Bit9のCTO、ハリー・スヴェルドラブ氏は先週月曜日のブログ投稿で述べています。「攻撃者はこれらのサイトに悪意のあるJavaアプレットを挿入し、Javaの脆弱性を悪用して、侵害された証明書で署名されたファイルを含む追加の悪意のあるファイルを配信したと考えられます。」
Bit9のCTOによると、これらの悪意のあるファイルの1つは、ポート80経由でIPアドレス「110.173.55.187」に接続していた。このIPアドレスは香港のアドレスに登録されている。
「Trojan.Naidの攻撃者は非常に執拗に攻撃を続け、複数の攻撃でその高度な技術を披露してきました」とシマンテックの研究者は述べています。「彼らの主な目的は、様々な産業分野に対する産業スパイ活動です。」
ゼロデイ脆弱性を探す
彼らが仕掛ける攻撃は通常、ゼロデイ脆弱性を悪用する。シマンテックの研究者によると、2012年には、標的が頻繁に訪れるウェブサイトを感染させるウォーターホール型攻撃(Internet Explorerのゼロデイ脆弱性を悪用)を実行したという。
Oracleは、この最新のJava脆弱性に対するパッチ適用計画をまだ明らかにしていません。次回のJavaセキュリティアップデートは4月に予定されていましたが、それ以前に緊急アップデートをリリースする可能性もあります。
セキュリティ研究者は、WebベースのJavaコンテンツにアクセスする必要がないユーザーに対し、ブラウザからJavaプラグインを削除するよう勧告しています。Javaの最新バージョンであるJava 7 Update 15では、コントロールパネルからJavaプラグインを無効化するか、ブラウザ内でJavaアプレットを実行する前に確認プロンプトを強制表示するオプションが提供されています。
