「Elderwood プラットフォーム」と名付けたインフラのコンポーネントを再利用
水飲み場型が増加!シマンテックがAurora利用攻撃を調査
2012年09月10日 06時00分更新
9月7日、シマンテックはマルウェア「Hydraq(Aurora)」を使うグループによる3年に渡る攻撃活動「Elderwoodプロジェクト」に関する報告を発表した。
これによると、攻撃グループは組織的で、シマンテックが「Elderwoodプラットフォーム」と名付けたインフラのコンポーネントを再利用している。「Elderwood」は、一部の攻撃で悪用された通信に由来する言葉だが、この攻撃プラットフォームによってゼロデイの脆弱性悪用が簡単になるという。
また、これまでの攻撃では、つねにスピア型フィッシングの電子メールが使われてきた。だが現在は、肉食動物が砂漠の水飲み場で獲物を待ち受ける状況に見立てた「水飲み場」型の攻撃ともいえる手口が増えているという。これは、標的組織によってアクセスされる可能性が高い特定のWebサイトに侵入する攻撃だ。
なお、利用ユーザー数の多いソフトウェアの深刻なゼロデイ脆弱性が悪用され、実際に被害が出ている例はさほど多くはなく、ゼロデイ脆弱性の数は2011年で、8件程度しかなかった。ところが、Elderwood攻撃グループが悪用したゼロデイ脆弱性は、過去数カ月間だけで4件という。ゼロデイ脆弱性を悪用する攻撃はほかにもあるが短期間で4件も使われた例はなく、悪用されたゼロデイ脆弱性の数を見ると、攻撃者は高度な技術スキルを有していることが伺えるという。
Elderwoodプロジェクトに関する情報は、同社Webページで公開中だ。