シマンテックは5月19日、2012年に発見されたゼロデイ攻撃用の悪用コード「Elderwood プラットフォーム」に関する最新の分析結果をブログで公開した。
Elderwood プラットフォームのゼロデイ悪用コードを利用している攻撃者の構成は、これまで多くの研究者・セキュリティ関連企業によっていくつかの仮説が立てられてきたという。同社は2種類のケースがあると言及している。
1つ目は、上位グループと複数のサブグループから構成されているケース。各サブグループは標的にする業種が割り当てられており、独自のマルウェアファミリーおよびネットワークインフラを活用して攻撃する。上位グループは、ゼロデイ悪用コードを入手し、サブグループ間で調整するという役目がある。
|
上位グループから下位グループに悪用コードが配布されているケース |
2つ目は、攻撃グループがまったく別々の組織であるというケース。この場合は、各グループに共通する供給元があり、配布元がゼロデイ悪用コードを各グループに配布している。供給元は、一部のグループを優遇し、ほかのグループより早くそのグループに悪用コードを渡している可能性もあるという。
|
供給元から悪用コードが配布されているケース |
そのほか、最近確認されたElderwood プラットフォームを使った攻撃活動の例を時系列で紹介している。
