先週我々は、エクスプロイトキットへと導くiframeインジェクションを提供する、ハッキングされたサイトについて、Kafeineからヒントを得た。我々は非常に興味深いと考え、感染したWebサイトの1つを監視して、以下のコード片が潜んでいるのを見つけた。

sitecode



 ぼかしていない方(deobfuscated)のコードは、挿入されたiframeのURLがどこから集められるのかを示している。また同時にリダイレクトを許可するcookieを使用していることが分かる。さらにIE、Opera、Firefoxからブラウズしたユーザのみを標的に感染させることを表している。

 そして現在、ソースサイトや感染したサイトからの、古いが良質な断片情報がある。

injected



 感染したWebサイトが首尾よくリダイレクトをすると、ユーザはNeutrinoエクスプロイトキットに行き着く。これはJavaエクスプロイトを提供するものだ。

redirections



 トロイの木馬のペイロードをまだ十分に解析していないが、最初に確認した際に、以下のIPアドレスにHTTPポストを行っていることが判明した。

mapp



 今週の初め、おそらくまだ完全に影響を受けていない頃、挿入されたURLはgoogle.comに向けられていた。しかしながら、昨日の夕方、完全なオペレーションが開始され、Javaエクスプロイトを提供するNeutrinoにリダイレクトし始めた。

first_instance



 この時系列に基づき、感染したサイトを訪れた各IPアドレスの地点を地図上にプロットした。これらのIPアドレスはこの脅威における潜在的な犠牲者だ。おおよそ8万個のIPアドレスが存在する。

visitor3



 我々はまた、これまでに感染したWebサイトもプロットした。この脅威の影響を受けたドメインは2万超に達する。感染したサイトは、WordPressもしくはJoomla CMSのいずれかを使用しているように見受けられる。

hacked



 なお、この脅威に関する別の情報が、Kafeineのブログに投稿されている。

 このポストに関連があるサンプルは、Trojan:HTML/SORedir.A、Exploit:Java/Majava.A、Trojan:W32/Agent.DUOHとして検知される。

 Post by — Karmina and @Daavid