悪名高い「Nuclear Exploit Kit」が活動停止

チェック・ポイントが作成した調査レポートが4月に公開された時を同じくして、エクスプロイト・キット「Nuclear Exploit Kit」がそのインフラストラクチャ全体をシャットダウンし、活動を停止にしたことが確認されました。

背景

Nuclear Exploit Kitは今日確認されている中でも最大規模の攻撃用インフラストラクチャであり、最近では、「Malware-as-a-Service(サービスとしてのマルウェア)」市場に関する継続的な研究の一環としてチェック・ポイントの脅威情報およびリサーチ・チームが実施した網羅的な調査の対象とされていました。

レポート「Inside Nuclear’s Core: Analyzing the Nuclear Exploit Kit Infrastructure」の第1部では、このエクスプロイト・キットの各種機能やエクスプロイト、手法を詳細に取り上げました。コントロール・パネルやランディング・ページ、マスター・サーバ、感染フロー、エクスプロイト、その他の内部ロジックを含む、Nuclearの活動スキームとその特徴を分析しています。

さらに、Nuclearによって配布されるアクティブなマルウェアの攻撃キャンペーンとその感染に関する統計情報も掲示しており、公開時点ではランサムウェア「Locky」が最も多数のマルウェアであったことを明らかにしています。

Inside Nuclear’s Core: Unraveling a Malware-as-a-Service Infrastructure」の第2部では、その猛威を振るった攻撃活動のさまざまな局面を新たな視点から論じています。このエクスプロイト・キットが利用するエクスプロイトや脆弱性、ユーザへのペイロードの配信プロセスについて取り上げているほか、攻撃キャンペーンがユーザに及ぼす影響も調べ、その被害を評価しました。

レポート公開の余波

最初のレポートが公開されてからわずか数日後の4月末、既存のNuclearのインフラストラクチャが完全に停止しました。Nuclearのすべてのパネル・インスタンスやマスター・サーバからの不正なコンテンツの配信、およびそのIPアドレスからのリクエストへの応答が止まったのです。

さらには、Nuclearが同じく4月下旬の時点で活動を停止していたことも発覚しました。フランスのセキュリティ研究者であるKafeine氏は、Angler Exploit Kitの現状について解説した自身のブログ記事(malware.dontneedcoffee.com)の中で、Nuclearが4月30日頃に姿を消したと記しています。Symantecの月例セキュリティ情報である最新インテリジェンスの2016年5月版によると、前月と比較してNuclearによる攻撃の検出数に大きな変化が見られています。「4月のランキングでトップに立ったNuclear Exploit Kitは、今月のランキングではトップ5圏外にまで順位を落としています。これは、4月下旬に公開された調査レポートにより、同ツールキットのインフラストラクチャの実態が明るみになり、活動不能に陥ったためではないかと考えられます。」

チェック・ポイントによる調査および情報開示が、深刻な脅威に対し大打撃を与え、活動停止に追いやったのは間違いないでしょう。私たちは今後も、Nuclearのインフラストラクチャと活動の変化に目を光らせていくつもりです。