IEのゼロデイ脆弱性を悪用する新エクスプロイト、DeputyDogとの関連も(ファイア・アイ)
ファイア・アイは、IEのゼロデイ脆弱性を悪用する新たなエクスプロイトが、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。
脆弱性と脅威
脅威動向
この攻撃で使用されている「Trojan.APT.9002」の亜種は、IPアドレスが111.68.9.93の指令サーバに443番ポートで接続し、非HTTPプロトコルとHTTP POSTを使用して通信する。この亜種が使用するコールバック・ビーコンは、以前の亜種からは変更されている。またビーコンは、動的に変化する4バイトのXORキーを使用してデータを暗号化している。このキーはオフセット0の位置に置かれており、ビーコンを送信するたびに変化する。FireEyeラボでは、9002の4バイトのXOR版がしばらく前から複数の攻撃者によって使用されている事例を確認しているが、ディスクに書き込みをしないペイロードで使用されていることが確認されたのは今回が初めてとしている。なお、Trojan.APT.9002のペイロードには「rat_UnInstall」という文字列が含まれていることから、Operation Auroraとの関連性も指摘している。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/