マルウェアがOracleからリリースされたパッチのJava脆弱性を利用してWindows、Mac OS X、Linux PCを感染させる

昨年の今頃、Javaはその歴史の中で最も重要な時期の一つに直面していました。ハッカーたちはその時、Javaベースのソフトウェアに侵入するために「ゼロデイエクスプロイト」と呼ばれる脆弱性を利用しました。これらのエクスプロイトは非常に強力で、地下ウェブサイトやフォーラムで1つあたり5000ドルの価格がつけられました。その結果、Oracleはこの脆弱性を修正するために一連のパッチをリリースしました。しかし、2013年6月にリリースされたCVE-2013-2465と呼ばれるOracleのパッチの1つは、重大な脆弱性を修正するためにリリースされたにもかかわらず、エクスプロイトを持っているようです！！！

研究者たちは、ボットネットマルウェアがこのエクスプロイトを利用して、OracleのJavaソフトウェアフレームワークがインストールされて実行されているすべての主要なオペレーティングシステムであるWindows、Mac OS X、Linuxを実行しているコンピュータを感染させることを発見しました。そして、Javaフレームワークはほぼすべての場所で、すべての人によって使用されているため、この感染は重大なものと説明されています。第二に、このマルウェア自体はクロスプラットフォーム版であり、Zelix Klassmasterオブフスケーターを使用して、ホワイトハットや競合するブラックハットハッカーによるリバースエンジニアリングを防いでいます。このマルウェアの名前はHeur:Backdoor.Java.Agent.a.です。Zelixはバイトコードをオブフスケートするだけでなく、マルウェアの内部動作の一部を暗号化し、検出、治療、またはリバースエンジニアリングを不可能にします。

Javaバージョン7 u21以前を持つすべてのマシンは、このボットネットに感染する可能性があります。ボットがコンピュータに感染すると、それは感染したマシンが起動するたびに実行されるように、それぞれのプラットフォームのオートスタートディレクトリに自分自身をコピーします。起動すると、マルウェアは妥協されたコンピュータをインターネットリレーチャットチャンネルに報告させ、コマンドとコントロールサーバーとして機能します。ハッカーはこのIRCチャンネルを使用して、ハッキングされた/妥協されたコンピュータをリモートで制御することができます。上記のように、クロスプラットフォーム機能のため、このマルウェアは二重に危険と呼ばれています。

ハッカーはこのボットネットを使用して、特定のターゲットに対してD 分散型サービス拒否（DDoS）攻撃を実行します。これは、ハッカーがIRCチャンネルを介して必要なコマンドを発行することによって行われます。指定されたIRCチャンネルは、ハッカーが攻撃のIPアドレス、ポート番号、強度、期間を指定できるようにします。マルウェアは完全にJavaで書かれており、Windows OS XおよびLinuxマシンで実行できます。ハッカーにさらなる柔軟性と操作性を提供するために、ボットにはJavaに基づくIRCプログラミングインターフェースであるPircBotも組み込まれています。

*このボットネットマルウェアの動作は、DDoS攻撃の被害者と攻撃者（妥協されたPC）の両方が攻撃の背後にいる実際の犯罪者を認識しないように設計されています。これにより、被害者によって雇われたウェブマスター、セキュリティアナリスト、ホワイトハッカーが自分のウェブサイトを監視し、実際の攻撃者の源に到達することが難しくなります。