NTTセキュリティ・ジャパンによると日本国内でBottleEKの活動が活発化しているということです。EKとはExploit Kitの略で、脆弱性を狙った攻撃であるエクスプロイト用のキットのことをいいます。Exploit Kitを使うことで容易に脆弱性を狙った攻撃が可能になることからサイバー犯罪者に広く利用されている実態があるようです。様々なExploit Kit がありインターネットのアンダーグラウンドで売買されているようです。BottleEKとはどのようなExploit Kitなのでしょうか?
不正な広告マルバタイジングを介して
サイバーセキュリティ研究チーム「nao_sec」によると、BottleEKは2019年12月にnao_secのメンバーによって発見され、2019年9月には活動をしていたとみられる日本のユーザーを狙ったExploit Kitだということです。不正なマルウェアをダウンロードしたり、マルウェアに感染させる悪意のあるサイトに誘導するウェブ上の不正な広告をマルウェアとアドバタイジングを掛け合わせてマルバタイジングと呼んでいます。BottleEKは、マルバタイジングによってリダイレクトされている実態があるようです。ユーザーがマルバタイジングによってBottleEKにリダイレクトされると、ユーザーの環境を確認しブラウザの言語設定を取得。その際、言語が日本語でない場合、さらにブラウザがInternet Explorerでない場合はダミーのHTMLページを表示して終了するということです。
日本語言語やInternet Explorerであることなどをチェックするとボトルの画像が表示され、「読み込み中、お待ちください」と日本語が記されたページが表示され、一方でエクスプロイトコードを読み取り、Internet ExplorerやAdobe Flash Playerの脆弱性を悪用してマルウェアがダウンロードされるということです。トレンドマイクロは2020年3月に日本のオンラインバンキングのユーザーを標的としたトロイの木馬型の新たなマルウェアを使った攻撃「Operation Overtrap」についてレポートしています。この攻撃は2019年4月から活動が認められるということですが、3つのベクトルで攻撃が行われており、その1つがマルバタイジングとBottleEKによってバンキング型トロイの木馬「Cinobi」を配信するものです。Cinobiに感染すると銀行の認証情報が窃取されてしまいます。トレンドマイクロによるとCinobiを使ったこの攻撃で標的にされているのはすべて日本のオンラインバンクの認証情報だということです。
Spelevo Exploit Kitを使った攻撃も
NTTセキュリティ・ジャパンのレポートによれば、BottleEKの他にも日本を標的とした攻撃としてSpelevo Exploit Kitを使ったPseudoGateという攻撃があるということです。Spelevo Exploit Kitは2019年3月に存在が確認され、ShadeやMazeのようなランサムウェアやDridexやIcedIDのようなバンキング型トロイの木馬を実行するために使われているということですが、日本を標的としたPseudoGate攻撃では、BottleEK を使った攻撃と同様にマルバタイジングを介してUrsnifというマルウェアが投下されて銀行の認証情報が窃取されているということです。NTTセキュリティ・ジャパンのレポートは、サポートが終了しているAdobe Flash Playerやパッチが適用されていないInternet Explorerの使用を中止することを推奨するとともに「日本はバンキングトロジャンを用いた攻撃に狙われる傾向がある」と記しています。
トレンドマイクロは、2020年に1年間かけて日本サイバー犯罪対策センター(JC3)とともに国内の金融機関を狙ったフィッシング詐欺の共同調査を実施し最近調査結果を公表しました。この調査では日本国内向けのフィッシング詐欺に使用されたフィッシングサイト約1万1000件を調査し、国内の金融機関を騙ったフィッシングサイトをBP(Bank Phishing)グループとし、BPグループをさらに10以上に分類、解析しています。トレンドマイクロによると、BottleEK を使ったOperation Overtrapの攻撃者は、JC3との共同調査で分類されたBPグループの中の1グループとの関連性が疑われるということです。
■出典
https://nao-sec.org/2019/12/say-hello-to-bottle-exploit-kit.html
https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_103_koike-takai_jp.pdf
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
https://www.trendmicro.com/ja_jp/about/press-release/2021/pr-20210427-01.html