Hacking Team社の侵害があってから、7月5日になって間もなく大量の情報が一般に暴露された。特記すべきは、同社の顧客情報と、同社が使用してきたAdobe Flash Playerのゼロデイ脆弱性だ。
最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。
当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。
以下は、エクスプロイトキットごとの統計だ。
CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。
しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。
見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。
Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。
当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。
AnglerのFlashエクスプロイト:
HanJuanのFlashエクスプロイト:
この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。
ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。
Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A
最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。
当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。
以下は、エクスプロイトキットごとの統計だ。
CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。
しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。
見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。
Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。
Anglerで検知されるURLのパターンに異なるものがあることを発見したのち、当社にてこの点を検証した。
当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。
AnglerのFlashエクスプロイト:
HanJuanのFlashエクスプロイト:
この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。
ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。
Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A
