シマンテックは最近、一般に被害が確認される通常の攻撃に比べてかなり特殊な攻撃活動を発見しました。この攻撃は、政府機関を標的として、悪質なファイルが添付されたフィッシングメールを送付します。目新しい点は今のところ 1 つだけで、それは悪質なペイロードが Java のリモートアクセスツール(RAT)だということです。
何度もお伝えしているように、サイバー犯罪者はユーザーを誘導するために最新のニューストピックを利用する傾向があります。今回の攻撃で使われているのは、NSA の監視プログラム PRISM を取り上げた最近のニュースです。
図 1. フィッシングメールの例
フィッシングメールには、悪質ではない正規の PDF 文書が 2 つと、正規の文書の名前に見せかけた Java ファイルが 1 つ添付されています。欺かれたユーザーがこの偽文書をクリックすると、Java アプレットが実行されます(ユーザーのコンピュータに Java の実行環境がインストールされている場合に限ります)。
このアプレットは jRat という名前の無償版 RAT で、シマンテックはこれを Backdoor.Jeetratとして検出します。jRat は、侵入したコンピュータの完全な制御権をリモートの攻撃者に付与することができます。しかも、これは Java アプレットなので、Windows に限らず複数のオペレーティングシステムで実行できる点に注意が必要です。実際、この脅威にはカスタマイズした独自の RAT を開発できるビルダーツールも含まれており、幅広い選択肢から標的とするオペレーティングシステムを選択できます。
図 2. RAT ビルダーのコントロールパネルには、サポートされるオペレーティングシステムなどのオプションがある
この RAT は、Windows だけでなく Linux、Mac OSX、FreeBSD、OpenBSD、Solaris も標的にできます。これらすべてのオペレーティングシステムでこの脅威が稼働することを検証または確認したわけではありませんが、原則としては、Java をサポートしていればどんなシステム上でも実行できる可能性があります。
シマンテックは、今回の攻撃で使われているのと同じコマンド & コントロール(C&C)サーバーを利用している脅威がほかにもないかどうかアーカイブを調べ、1 つの RTF 文書を特定しました。
図 3.以前の攻撃活動で確認された悪質な RTF 文書
この悪質な RTF ファイルは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)を悪用するもので、シマンテックの検出名は Bloodhound.Exploit.457です。このことから、同じ攻撃者が以前は通常の攻撃手法を利用していたことがわかります。なんらかの脆弱性を悪用する悪質な文書を送付して実行可能なペイロードを投下するという手口でした。それが、最近になって悪質な Java ペイロードを直接送付する手口に移行したのです。脆弱性を悪用せず、実行可能なシェルコードやペイロードも伴わず単に Java アプレットを利用するだけなので、攻撃は単純化しました。にもかかわらず、危険性は以前の攻撃とまったく変わることがなく、しかも拡散は以前より容易になっています。脆弱性を悪用できるのは、その脆弱性を持つ特定バージョンのソフトウェアやオペレーティングシステムに限られていましたが、この RAT は、Java ランタイムさえインストールされていればどんなシステムにも拡散できるからです。つまり、今回の攻撃は単純化しただけでなく安定性と伝染性が高くなっており、事実上は大きなアップグレードと言えます。
このマルウェアの分布を見ると、標的の多くは米国内にあることがわかります。
図 4.マルウェアの分布状況
RAT だけでなく、他のクラスの Java マルウェアでも被害が確認されています。Java マルウェアの他の使われ方について詳しくは、Java.Cogyekaに関する 3 回シリーズのブログ記事を参照してください。
最後に、この新しい攻撃はやや特殊ではあるものの、今までの攻撃と同じように検出も遮断も可能である点を指摘しておきます。お客様は、ウイルス定義を更新し、疑わしい電子メールを受信したときには特に注意するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。