エクスプロイトキット(exploit kit、EK)に至るさまざまなリダイレクタについて、当社では昨年から監視を行ってきた。そうしたリダイレクタの1つに、AnglerエクスプロイトキットまたはNeutrinoエクスプロイトキットのいずれかへ誘導するものがある。SANS ISCでも、この2つのエクスプロイトキットを切り替えるリダイレクタを監視していた。

 今年の初め、当社のテレメトリにおいて当該リダイレクの急激かつ大幅な落ち込みがあることに気付いた。

Hits of the redirector that leads to either Angler EK or Neutrino EK.

 興味深いことに、同日、当社のAnglerのテレメトリでも急減していた。それに対して、Neutrinoは活動しているままだった。この間、Neutrinoはリダイレクタ経由ではなく、侵害されたWebサイトから直接提供されていたことが判明している。

Angler EK and Neutrino Hits 2015.12.24 - 2016.01.15

 最初に見たときには、Anglerが休暇を取っているかのように思えた。おそらく、それが大部分の真実だろう。しかし、さらに詳細に当社のテレメトリを見ていくと、休暇とされる期間中も活動していた、非常に小さな一団がいたようだ。

 以下は、当社のテレメトリで目にした例の一部だ。

Angler URLs 2016.01.03

 1月11日になりAnglerの活動が再開したが、一方でNeutrinoの活動は徐々に緩やかになっていった。この休みの前後でAnglerエクスプロイトキットに明らかな変化があったことは認められない。単にちょっと休暇を取ったようにしか見えない。

 また興味深いことには、Anglerはサブドメインを生成する際に非英語の単語を用いている。以下は、2015年および2016年にAnglerで使用されているのを目にした、フィンランド語の単語である。

Angler Finnish 2015

 「valtioneuvostossa」とは「国務院」を指す。
 「omakotirakentamisessa」は「一戸建て住宅の建築時」を意味する。

Angler Finnish 2016

 「kansatieteelliseen」は「民族的な(何か)に対し」という意味だ。
 「nauhoittamasta」は「記録から」である。