ファイア・アイ株式会社は11月14日、Internet Explorer(IE)のゼロデイ脆弱性を悪用する新たなエクスプロイト(オペレーションEphemeral Hydra)が、Webサイト経由のサイバー攻撃で使用されている事実を確認したと発表した。これは、米FireEye社が11月10日に投稿したブログ記事を翻訳したもの。攻撃者は、国家や多国間の安全保障政策に関心のある人物がアクセスするWebサイトを意図的に選び、ゼロデイ・エクスプロイトを埋め込んでいた。FireEyeは、この攻撃と「オペレーション DeputyDog」と呼ぶ攻撃で使用されているインフラとの間に、関連性を確認したという。またこの攻撃には、多くの標的型攻撃とは異なり、攻撃に使用するペイロードをディスクに書き込むことなく直接メモリに読み込むという特徴がある。このため、攻撃を受けたシステムを従来のフォレンジック手法で調査することは非常に困難となっている。この攻撃で使用されている「Trojan.APT.9002」の亜種は、IPアドレスが111.68.9.93の指令サーバに443番ポートで接続し、非HTTPプロトコルとHTTP POSTを使用して通信する。この亜種が使用するコールバック・ビーコンは、以前の亜種からは変更されている。またビーコンは、動的に変化する4バイトのXORキーを使用してデータを暗号化している。このキーはオフセット0の位置に置かれており、ビーコンを送信するたびに変化する。FireEyeラボでは、9002の4バイトのXOR版がしばらく前から複数の攻撃者によって使用されている事例を確認しているが、ディスクに書き込みをしないペイロードで使用されていることが確認されたのは今回が初めてとしている。なお、Trojan.APT.9002のペイロードには「rat_UnInstall」という文字列が含まれていることから、Operation Auroraとの関連性も指摘している。
