シマンテック、CVE 2015-2444の脆弱性を悪用した水飲み場攻撃を確認

  • 元記事:Sundown 悪用ツールキット、他のツールキットに先んじて Internet Explorer の悪用コードを統合
  • HP:シマンテック
  • 発表日時 2015/8/25

    シマンテックはマイクロソフトが8月の月例セキュリティ更新に「MS15-079」で修正したIEのCVE 2015-2444の脆弱性を悪用した水飲み場攻撃を確認した。
    同社によると、脆弱性「CVE 2015-2444」がエクスプロイトキットに実装され、日本に対する水飲み場攻撃を確認した。この脆弱性を修正するセキュリティ更新「MS15-079」が公開された次の日にCVE-2015-2444をSundown EKが悪用していた。同社は、攻撃者が主に日本のユーザを標的としてSundownを使用して水飲み場型攻撃にこの脆弱性を悪用し、バックドア型トロイの木馬をPCに投下していることを確認している。
    攻撃の仕組みは、正規のWeb サイトにインジェクトした iframeにより高度に不明瞭化されてSundown 悪用ツールキットが仕掛けられたランディングページにリダイレクトされる。ランディングページへのアクセスにより、Sundown は特定のセキュリティソフトウェア関連の環境やトラフィック取得ツールの存在を確認し、存在した場合には検出回避のためSundownは悪用コードを投下しない。Sundownは適した状況を調べてから各ソフトウェアの脆弱性を悪用し、悪用が成功するとTrojan.Nancrat を被害者のコンピュータに投下してマルウェア感染させ、PCから情報を盗取する。
    同社は、これらの脆弱性が悪用されないためにもソフトウェアの更新は必ず定期的に行うよう呼びかけている。