Internet Explorer の最新のゼロデイ脆弱性についてご報告した前々回と前回のブログでは、「水飲み場」型攻撃について説明し、「Elderwood プロジェクト」に関するシマンテックのホワイトペーパー(英語)をご紹介しました。このホワイトペーパーでは、Elderwood グループによって連続して仕掛けられた「水飲み場」型攻撃を特集しています。以前の攻撃を振り返った結果、Internet Explorer の最新のゼロデイ脆弱性を悪用した今回の攻撃も、Elderwood プロジェクトの一環であることが確認されました。
Elderwood 関連のゼロデイ脆弱性
Elderwood グループによって悪用された脆弱性のうち、Internet Explorer の今回のゼロデイ脆弱性に直接関連するものを以下の表にまとめます。
CVE
BID
説明
発見時期
2012-1875
53847
2012-1889
53934
2012-4969
55562
2012-4792
57070
表 1. Elderwood グループによって悪用された脆弱性
2012 年 5 月には、アムネスティインターナショナル香港(Amnesty International Hong Kong)の Web サイトが侵入を受け、CVE-2012-1875 を悪用する悪質な SWF ファイルの拡散に利用されました。2012 年 9 月に CVE-2012-4969 を悪用したのも同じグループであり、去る 12 月には、米国に拠点を置くシンクタンクの Web サイトが侵入を受け、CVE-2012-4792 を悪用されたばかりです。しかし、この脆弱性を悪用されたのは、そのサイトだけではありませんでした。
セキュリティ研究者である Eric Romang 氏が、別の Web サイトも Internet Explorer の最新のゼロデイ脆弱性のホスティングに利用されていることを確認したと、自身のブログで報告しています。その記事で Romang 氏は、9 月に起きた CVE-2012-4969 のゼロデイ脆弱性にも同じ Web サイトが関係していたと指摘しています。シマンテックの独自調査でも同じ結論に達したほか、この Web サイトはさらに遡った 6 月にも、movie.swf というファイルによって侵入を受け、CVE-2012-1889 が悪用されていたことが新たに判明しました。movie.swf は、Elderwood プロジェクトに関係があるファイルです。
図 1. 1 つのサイトでホストされていた 3 つのゼロデイ脆弱性
Shockwave ファイル
Elderwood による「水飲み場」型攻撃で使われた SWF ファイルのサンプルをシマンテックが解析したところ、Flash マルウェアの作成者は一部の攻撃に共通のシンボルを使っていることがわかりました。
ファイル名
HeapSpary
hexToBin
OS_Version
URL_Addr
Flahs_Version
Geoffrey.swf
Moh2010.swf
Today.swf
表 2. 攻撃で使われていたシンボル
図 2. 逆コンパイルした ActionScrip で使われているシンボルの比較
図 2 でわかるように、シマンテックが特定したすべてのサンプルには、HeapSpary という名前の関数が含まれています。HeapSpary は明らかに Heap Spray(ヒープスプレー)のタイプミスであり、これは脆弱性の悪用に頻繁に使われる攻撃手段です。共通点はこれだけではなく、ファイル間で多くのシンボルが共通しています。たとえば、Geoffrey.swf と Moh2010.swf のどちらでも URL_Addr と Flahs_Version(Flash_Version のタイプミス)という変数が使われているうえ、3 種類の悪用ファイルすべてで、OS_Version という変数も使われています。
movie.swf のシンボルを復元して比較することはできませんでしたが、movie.swf は SWF ファイルのパッカー登録者情報によって Moh2010.swf に直接関連していることが判明しています。また、movie.swf と Moh2010.swf では構造とシェルコードが類似しています。
AlienVault Labs は以前から、Moh2010.swf 攻撃の背後にいる作成者に関するすばらしい調査結果を公開しており、同じ攻撃者が今回の攻撃にも関与していると考えられます。
Elderwood プロジェクトに関与しているグループは新しいゼロデイ脆弱性を次々と見つけては「水飲み場」型攻撃に悪用しており、新年もそれは続くものとシマンテックは予測しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。