今回は新たに見つかった攻撃ツールなどに関するブログを中心に紹介する。まずは、トレンドマイクロが取り上げている「Neutrino」から(トレンドマイクロは「JAVA_EXPLOYT.NEU」として検出)。脆弱性「CVE-2013-0431」および「CVE-2012-1723」を悪用する攻撃ツールである。

 トレンドマイクロの予測によれば、今年は堅牢でより見つけにくい攻撃ツールが増加する。その第1号といえる「WhiteHole」は、「CVE-2013-0422」をはじめとする複数の脆弱性を利用していた。Neutrinoも、同様の新たな攻撃ツールで、既にアンダーグラウンドマーケットで販売されている。

 Neutrinoによる攻撃を受けるのは、、「Java 7 Update 11」以前のバージョンがインストールされたシステム。Neutrinoは脆弱性の攻撃に成功すると、ランサムウエアの亜種(「TROJ_RANSOM.NTW」として検出)をダウンロードする。

 CVE-2013-0431の脆弱性は「BlackHole」攻撃ツールによるスパムメール攻撃にも使われ、米ペイパルからのメッセージを装った迷惑メールが大量配信された。一方CVE-2012-1723は、BlackHoleだけでなくWhiteHoleでも利用された。

 Neutrinoの主な特徴は以下の通り。

・使いやすいコントロールパネル
・簡単なドメインおよびIP管理
・アンチウイルス製品を継続的に監視
・トラフィックのフィルタリング
・ブラウザープラグイン検出機能などを用いた被害システムの情報収集
・送信する情報の分類
・盗んだ情報を暗号化してサーバーに送信
・攻撃手口のレコメンデーション
・利用可能な脆弱性、攻撃コードやペイロードに関する通知

 Neutrinoはメンテナンスサービス付きでサーバーレンタルも提供されている。レンタル料は日額40ドル、月額450ドルとなっている。Neutrinoの手法は他の攻撃ツールと非常によく似ているが、上記の特徴からすると、攻撃者はますます巧妙かつ組織化されていることが考えられる。