Tag Archives: Bloodhound.Exploit.540

先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」（CVE-2014-0322）です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT（Advanced Persistent Threat）に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。

シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。

図 1. CVE-2014-0633 を悪用する攻撃の分布図

特に、日本のサイトにアクセスするユーザーが標的となっています。これは、複数のサイトが侵害され、ドライブバイダウンロードのホストとして利用されていることが主な原因です。今回の攻撃では、以下のサイトが侵入を受けています。

• 登山者を対象としたコミュニティサイト
• 出会い系アダルトサイト
• 言語教育を推進するサイト
• 金融市場の情報を提供する Web サイト
• オンラインショッピングサイト
• 日本の旅行代理店の Web サイト

攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたものと考えられます。

図 2. CVE-2014-0322 悪用コードの標的になったコンピュータの地域分布

これらの Web サイトは、Internet Explorer のゼロデイ脆弱性に対する悪用コードをホストするように改ざんされたか、悪用コードをホストしている別の侵入先サイトにリダイレクトする iframe が挿入されて更新されていました。攻撃に成功すると、悪用コードによって、オンラインバンキングを狙うトロイの木馬が投下され、これがみずほ銀行とゆうちょ銀行のログイン情報を盗み出そうとします。シマンテックは、この脅威を Infostealer.Bankeiya として検出します。

図 3. トロイの木馬が表示する、みずほ銀行の偽の画面（ログイン後）

図 4. トロイの木馬が表示する、ゆうちょ銀行の偽の画面（ログイン後）

今回の攻撃への対応策

この脆弱性を修正するセキュリティ更新プログラムはまだ提供されていませんが、Microsoft 社は、この脆弱性を悪用する攻撃からコンピュータを保護するために、以下の対応策を推奨しています。

• Internet Explorer 11 にアップグレードする
• Microsoft Fix it 修正ソリューションをインストールする

また、関連するパッチが公開され次第、速やかに適用することもお勧めします。シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

• Infostealer.Bankeiya
• Trojan.Malscript
• Trojan.Swifi
• Trojan Horse
• Backdoor.ZXShell
• Bloodhound.Exploit.540

侵入防止シグネチャ

• Web Attack: Malicious SWF Download 19
• Web Attack: MSIE Generic Browser Exploit 3

この脆弱性を悪用する攻撃は今後も増加傾向が続くと予測されるため、ただちに対策を実施するようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Earlier this month we blogged about a new Internet Explorer 10 zero-day vulnerability that was targeted in a recent watering hole attack. The attackers took advantage of a previously undiscovered zero-day flaw known as the Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322). At the time, the attackers delivered the exploit code for the zero-day vulnerability through compromised sites, intending to target a limited audience. Since then, we have continued to closely monitor attacks focusing on CVE-2014-0322. We’ve observed trends suggesting that attacks targeting this vulnerability are no longer confined to advanced persistent threats (APT) — the zero-day attacks are expanding to attack average Internet users as well. We refer to these attacks as drive-by downloads. This is not a surprising result, as the vulnerability’s exploit code received a lot of exposure, allowing anyone to acquire the code and re-use it for their own purposes.

Our internal telemetry shows a big uptick in attempted zero-day attacks. The attacks started to increase dramatically from February 22, targeting users in many parts of the world.  Our telemetry shows both targeted attacks and drive-by downloads in the mix.

Figure 1. Attacks targeting CVE-2014-0322 around the world

Users visiting Japanese sites have particularly been targeted.  This is mainly because multiple sites were compromised to host the drive-by download. The following sites were compromised in these attacks.

• A community site for mountain hikers
• An adult dating service site
• A website promoting language education
• A website providing financial market information
• An online shopping site
• A website of a Japanese tour provider

We believe that the same attacker undertook the majority of the attacks, based on the file components used.

Figure 2. Computers targeted with CVE-2014-0322 exploit code by region

These websites either were modified to host the exploit code for the Internet Explorer zero-day vulnerability or were updated with the insertion of an iframe that redirects the browser to another compromised site hosting the exploit code. If the attack is successful, the exploit drops a banking Trojan that steals login details from certain banks. Symantec detects this threat as Infostealer.Bankeiya.

Figure 3. Fake login screen for Mizuho Bank asking for a pin number

How to stay protected from the attacks

Microsoft has yet to provide a security update to patch the affected vulnerability. However, the company has offered the following solutions to help users protect their computers from exploits that take advantage of this vulnerability:

• Upgrade to Internet Explorer 11
• Install the Microsoft Fix it workaround solution

Symantec also encourages users to apply all relevant patches when they are available. Symantec protects customers against this attack with the following detections:

Antivirus

• Infostealer.Bankeiya
• Trojan.Malscript
• Trojan.Swifi
• Trojan Horse
• Backdoor.ZXShell
• Bloodhound.Exploit.540

Intrusion Prevention Signatures

• Web Attack: Malicious SWF Download 19
• Web Attack: MSIE Generic Browser Exploit 3

We will likely to continue to see an uptick in attacks exploiting this vulnerability, so we urge everyone to take action immediately.