Tag Archives: JUGEM

シマンテックは 5 月中旬、Adobe Flash Player に存在するバッファオーバーフローの脆弱性（CVE-2014-0515）を悪用する攻撃が徐々に増加していることを確認しましたが、この傾向はまだ続いています。シマンテックの調査によると、現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。

4 月にさかのぼると、CVE-2014-0515 は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されていました。その後同じ 4 月に Adobe 社はこの脆弱性に対するパッチをリリースしましたが、シマンテックの遠隔測定によると、それから数週間が経った現在では、当初の標的ではなく幅広いインターネットユーザーを狙って悪用コードが使われていることが判明しています。

図 1. Adobe Flash Player の脆弱性を悪用する攻撃の大部分は日本を標的に

図 1 に示すように、この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規の Web サイトが利用されています。そういった Web サイトから、攻撃者が用意した悪質なサイトにトラフィックがリダイレクトされます。

日本での攻撃を引き起こすように侵害された Web サイトは次のとおりです。

• his-jp.com（旅行代理店）
• jugem.jp（ブログサービス）
• pandora.tv（動画共有サービス）

上記の Web サイトに加えて、JUGEM レンタルサービスを使用しているブログサイトも影響を受けていました。

ブラウザが悪質なサイト（IP アドレス 1.234.35.42）にリダイレクトされると、CVE-2014-0515 の悪用を試みる悪用コードが読み込まれます。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェア Infostealer.Bankeiya.B に感染してしまいます。このマルウェアがユーザーから銀行口座情報を盗み取るのです。

図 2. 日本のユーザーを狙う攻撃件数の推移

図 3. 日本のユーザーを狙う攻撃の累積件数

Infostealer.Bankeiya.B は、Google Chrome、Mozilla Firefox、および Microsoft Internet Explorer を監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集します。

また、Infostealer.Bankeiya.B は自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができます。

Adobe Flash Player に存在するバッファオーバーフローの脆弱性（CVE-2014-0515）は広範囲に悪用されているため、Adobe Flash を最新のバージョンに更新することをお勧めします。オペレーティングシステムやコンピュータにインストールされているアプリケーションだけでなく、ブラウザで使用しているプラグインにもパッチを適用することが重要です。

保護対策
シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

• Infostealer.Bankeiya.B
• Blooudhound.Flash.24
• Backdoor.Trojan
• Trojan Horse

侵入防止システム

• Web Attack: Adobe Flash Player CVE-2014-0515 2
• Web Attack: JRE Concurrency CVE-2012-0507
• Web Attack: Malicious Java File Download 9
• Web Attack: Suspicious Executable Image Download

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

In mid-May, Symantec observed a gradual uptick in attacks exploiting the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515), and we continued to monitor this trend. Symantec’s research now indicates that the attacks are being performed on a massive scale and that majority of them are focused on Japan.

Back in April, CVE-2014-0515 was originally being exploited in watering-hole attacks against specific organizations or industries. Later in the same month, Adobe released a patch for the vulnerability. However, just a few weeks later Symantec telemetry indicated that instead of the initial targets, the exploit was now being used to target a wider range of Internet users.

Figure 1. Attackers using the Adobe exploit mostly targeting Japan

As seen in Figure 1, more than 90 percent of the attacks exploiting the vulnerability are targeting Japanese users. The attacks are typically carried out through drive-by-download and leverage compromised legitimate websites to host malicious code. The websites then redirect traffic to a malicious site prepared by the attacker.

The following websites were compromised to trigger attacks in Japan:

• his-jp.com (travel agency)
• jugem.jp (blog service)
• pandora.tv (video sharing service)

In addition to the above websites, blog sites that use the JUGEM rental service are also affected.

Once the browsers are redirected to the malicious site, which has the IP address 1.234.35.42, they render the exploit code that attempts to exploit CVE-2014-0515. If an older version of the software is installed on the computer, the attack will execute a series of malicious files to compromise the computer with the malware Infostealer.Bankeiya.B, which steals banking information from users.

Figure 2. Daily number of attacks on Japanese users

Figure 3. Cumulative number of attacks on Japanese users

Infostealer.Bankeiya.B monitors the Web browsers Google Chrome, Mozilla Firefox and Microsoft Internet Explorer. The Trojan gathers specific user data typically found in online banking transactions.

The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions.

Since the Adobe Flash Player Buffer Overflow Vulnerability (CVE-2014-0515) is used heavily in the wild, Symantec advises users to update Adobe Flash to the latest version. It is important to patch not only the operating system and applications installed on computers, but also any plug-ins used by browsers.

Protection
Symantec customers are protected against this attack with the following detections:

AV

• Infostealer.Bankeiya.B
• Blooudhound.Flash.24
• Backdoor.Trojan
• Trojan Horse

IPS

• Web Attack: Adobe Flash Player CVE-2014-0515 2
• Web Attack: JRE Concurrency CVE-2012-0507
• Web Attack: Malicious Java File Download 9
• Web Attack: Suspicious Executable Image Download