「じょうろの穴」キャンペーンは最近より目立ち、研究者はほぼ毎日新しいインシデントを特定しています。 先月Facebook、Twitter、Apple、Microsoftで複数のコンピューターを侵害した攻撃は、より多くの企業にも影響を与えたようです。
Facebookは先月、ハッキングされたモバイル開発者フォーラムにアクセスした後、一部の開発者がMacトロイの木馬に感染したことを明らかにしました。 当時、同社は他の多くの企業も影響を受けていたことを示した。 今週初めに発見された「セキュリティ元帳」は、攻撃者が「業界を超えた幅広い標的企業」の従業員に感染したようです。 報告によると、影響を受けた組織のリストには、著名な自動車メーカー、米国政府機関、および「大手キャンディメーカーさえ」が含まれていました。
FacebookのセキュリティチーフであるJoe Sullivanは、 The Security Ledgerに次の ように語っています。
じょうろとは何ですか?
The Security Ledgerに よると、攻撃者は、Facebook開発者をつまずかせたiPhone開発者フォーラムに加えて、Android開発者専用の2つのモバイルアプリケーション開発サイトをハイジャックしたようです。 調査に詳しい筋によると、モバイルアプリケーション開発者や他の種類のソフトウェア開発だけでなく、他のWebサイトもこの広範なキャンペーンで使用されました。
水飲み場攻撃では、攻撃者はWebサイトを侵害して操作し、サイトの訪問者にマルウェアを提供します。 ただし、この種の攻撃における攻撃者の動機は、情報や金銭を盗むことに対する抗議または意図として、ハッキングサイトとは異なります。 その代わり、これらの攻撃者は安全でないサイトやアプリケーションを利用して、その特定のサイトにアクセスする可能性の高いユーザーのクラスを標的にしています。 12月に行われた外交評議会のサイトの場合、攻撃者はおそらく政策のウインクや外交政策を扱う他の人たちの後を追っていたでしょう。 モバイル開発者は開発者フォーラムにアクセスする可能性が高く、リストは続きます。
ハッキングまたは水飲み場攻撃?
散水穴の操作は、毎日のようにサイトが侵害されているという新しいレポートで、攻撃中のようです。 Websense Security Labsは昨日、イスラエル政府関連のウェブサイトict.org.ilとherzliyaconference.orgがInternet Explorerのエクスプロイトを提供するためにハッキングされたことを発見しました。 Websenseによると、この攻撃はWindowsドロッパーファイルをダウンロードし、永続的なバックドアを開いてコマンドアンドコントロールサーバーと通信します。 ラボでは、ユーザーが1月23日までに感染していると推定しています。
会社は、外交評議会攻撃の背後にある同じ「エルダーウッド」グループもこのキャンペーンの背後にあることを示唆する手がかりを見つけました。
ワシントンDCの政治インサイダー向けの出版物であるNational Journalは、今週、ZeroAccessルートキットと偽のウイルス対策の亜種を提供していることがわかりました、とInvinceaの研究者は発見しました。 雑誌は2月にサイトでマルウェアを発見し、サイトを保護してクリーンアップしたため、攻撃のタイミングは少し驚くべきものです。 最新の攻撃では、既知の2つのJava脆弱性を使用し、訪問者をFiesta / NeoSploitエクスプロイトキットをホストするサイトに誘導しました。
なぜこれらの攻撃が起こっているのですか?
Securosisのアナリスト兼CEOであるRich Mogullによると、開発者は内部リソースへの広範なアクセス権を持ち、多くの場合、自分のコンピューターの管理者(または高特権)権限を持っているため、「ソフトターゲット」です。 開発者はさまざまな開発者サイトで多くの時間を費やし、フォーラムのディスカッションに参加する場合があります。 これらのフォーラムサイトの多くは、最適なセキュリティが確立されておらず、侵害に対して脆弱です。
InvinceaのCEO兼創設者であるAnup Ghosh氏は、攻撃者が標的型攻撃を開始するか、または可能な限り多くの犠牲者を獲得するための広範なキャンペーンに依拠するかどうかに関わらず、 。
攻撃者が特定の種類のユーザーを特に標的にせずに幅広いネットをキャストしていたとしても、犯罪者は理由によりそれらのサイトを選択しました。 政府のサイト、出版物、および開発者フォーラムはトラフィックの多いサイトであり、攻撃者に潜在的な被害者の幅広いプールを提供します。
攻撃者が被害者のリストを取得すると、価値の高い被害者を特定し、次のラウンドの攻撃を仕掛けることができます。これには、ソーシャルエンジニアリングの強化や、常駐マルウェアへの追加マルウェアのダウンロードが含まれます。
ユーザーの観点から見ると、これはセキュリティツール、ソフトウェア、およびオペレーティングシステムを最新のパッチで最新の状態に保つことの重要性を強調するだけです。 攻撃者はゼロデイを使用しているだけではありません。 攻撃の多くは、実際には古い既知の脆弱性に依存しています。なぜなら、人々は定期的に更新しないからです。 Javaを使用するサイトにアクセスする必要がある場合、それらのサイト専用のブラウザーを用意し、デフォルトのブラウザーでJavaを無効にして残りのWebにアクセスします。
そこに注意してください。
