新しい Internet Explorer のゼロデイ脆弱性に対してパッチが公開されましたが、この脆弱性はすでに悪用され、香港の福音教会が所有する Web サイトが侵入を受けていました。シマンテックの遠隔測定により、侵入されたサイトにホストされていた悪用コードが明らかになっています。この悪用コードを利用して、サイトにアクセスしたユーザーが Korplug バックドア(シマンテックでは Backdoor.Korplug として検出されます)に感染していました。
攻撃者は、香港福音ルーテル教会の Web サイトに侵入し、悪質な iFrame をホストするように改変しました。この iFrame によって、訪問者は別の Web サイトにリダイレクトされ、そのサイトに Internet Explorer Microsoft Internet Explorer Remote Memory Corruption Vulnerability(Microsoft Internet Explorer に存在するリモートメモリ破損の脆弱性)(CVE-2015-2502)の悪用コードがホストされていました。この Web サイトの IP アドレスは 115.144.107.55 です。
この Web サイトには vvv.html というファイルがあり、それが a.js か b.js のいずれかのファイルにリダイレクトされます。そこから、被害者のコンピュータに java.html というファイルがダウンロードされる仕組みです。java.html によって Korplug がコンピュータにインストールされますが、これは c.exe という実行可能ファイルの形になっています。
図 1. 侵入を受けた香港の Web サイトにホストされていた悪質な iFrame
Korplug(別名 PlugX)は、侵入先のコンピュータでバックドアを維持するトロイの木馬で、情報を盗み出す機能を持っています。Korplug については、以前にも何回かブログ記事でお伝えしたことがあります。Korplug は、過去 3 年間に主としてアジアで、幅広い攻撃に使われてきました。
図 2. Korplug の拡散につながったゼロデイ脆弱性
これは、「Microsoft セキュリティ情報 MS15-093」の一部として、Microsoft が昨日パッチを公開したばかりの脆弱性でした。この脆弱性を利用すると、特別に細工された Web ページをユーザーが Internet Explorer で表示したときリモートコードが実行される恐れがあります。攻撃者がこの脆弱性の悪用に成功すると、現在のユーザーと同じユーザー権限を取得できる可能性があります。Microsoft のセキュリティ更新を適用すれば、Internet Explorer がメモリ内のオブジェクトを処理する方法が修正され、この問題は解決します。
保護対策 シマンテック製品とノートン製品は、次の検出定義でこの脆弱性の悪用を防ぎます。
ウイルス対策
Intrusion Prevention System
The payload used in these attacks is detected as:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】