原文は
こちらAlert (TA13-141A)
Washington, DC Radio Station Web Site CompromisesOriginal release date: May 20, 2013 | Last revised: May 22, 2013
影響を受けるシステムMicrosoft Windows システム上で動作する Adobe Reader、Acrobat または Oracle Java
概要US-CERT は2013年5月16日、both www.federalnewsradio.com および www.wtop.com の両サイトで Internet Explorer のユーザをエクスプロイトキットへリダイレクトするよう改ざんされているとの通報を受けました。US-CERT の解析では、2013年5月17日の時点で、これらのサイトには悪意あるコードが存在していないことを確認しています。
説明侵害された Web サイトは、隠された iframe を挿入されることで、ユーザにダイナミック DNS ホスト上の JavaScript コードを参照させるよう改ざんされていました。この参照先のサイトから返されたファイルは、Fiesta Exploit Kit のものであることが特定されています。このエクスプロイトキットは、以下のような既知の脆弱性のひとつを悪用することで、実行形式ファイルのダウンロードを試みます。
・
CVE-2009-0927: Stack-based buffer overflow in Adobe Reader and Adobe Acrobat ・
CVE-2010-0188: Unspecified vulnerability in Adobe Reader and Acrobat ・
CVE-2013-0422: Multiple vulnerabilities in Oracle Java 7 before Update 11脆弱なバージョンの Adobe Reader、Acrobat または Oracle Java を使用しているシステムでアクセスすることで侵害されます。
影響リダイレクトに成功すると、このエクスプロイトキットは ZeroAccess Trojan の亜種を送信し、実行します。
オープンソースの報告によれば、このマルウェアは FakeAV/Kazy マルウェアをダウンロードし、インストールします。
ZeroAccess Trojan は、二つのハードコードされたコマンドアンドコントロールアドレス(194.165.17.3 および 209.68.32.176)のひとつへの誘導を試みます。この誘導では、User-Agent に Opera/10 の設定された HTTP GET リクエストが発生します。
誘導後、このマルウェアは細工された Microsoft Cabinet ファイルをダウンロードし、16464/udp ポートを使用してピアツーピアネットワークに接続します。この Cabinet ファイルは、いくつかの IP アドレスのリストと偽の Flash インストーラを含んでいます。
対策アップデートを適用してくださいこの問題に関連する脆弱性を修正するアップデートされたソフトウェアは以前から利用可能です。これらの脆弱性は攻撃者によく悪用されるため、ソフトウェアを最新版にアップデートすることが必要不可欠です
・Adobe は、Adobe Security Bulletins
APSB09-04 および
APSB10-07 のそれぞれで Adobe Reader
および Acrobat の脆弱性(
CVE-2009-0927 および
CVE-2010-0188)を修正するアップデートを
提供しています。
・Oracle は、Java の脆弱性を修正する
Oracle Security Alert for CVE-2013-0422 を
リリースしています。
さらなる脆弱性に対する防御のために、最新版の Adobe Reader、Acrobat および Oracle Java をインストールしてください。この記事の公開時点において、Adobe Reader および Acrobat の最新版のセキュリティアップデートは Adobe Security Bulletin
APSB13-15 より、Java の最新版である Java 7 Update 21 は
Oracle Java SE Critical Patch Update Advisory - April 2013 より参照可能です
感染したシステムを特定してください感染したシステムからの潜在的な動作を特定するために、以下の IP アドレス宛のアクティビティを監視してください。
・194.165.17.3
・209.68.32.176
参考情報 ・
WTOP and Federal News Radio Websites Back After Cyber Attack ・
K.I.A. - WTOP.com, FedNewsRadio and Tech Blogger John Dvorak Blog Site Hijacked - Exploits Java and Adobe to Distribute Fake A/V ・
Stack-based buffer overflow in Adobe Reader and Adobe Acrobat ・
Unspecified vulnerability in Adobe Reader and Acrobat ・
Adobe Security Bulletin APSB09-04 ・
Adobe Security Bulletin APSB10-07 ・
Adobe Security Bulletin APSB13-15 ・
Multiple vulnerabilities in Oracle Java 7 before Update 11 ・
Oracle Security Alert for CVE-2013-0422 ・
Oracle Java SE Critical Patch Update Advisory - April 2013RevisionsInitial release
Updated Solution section
↓クリックしていただけると助かります。(詐欺とかじゃないんで。。。)
PR