TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

Rig EK (まとめ)

【概要】

■Rig EKの特徴

項目
内容
環境チェック JavaScript で環境チェックを実施(環境に応じて攻撃を変化) *1


【ニュース】

◆脆弱性攻撃サイトへのアクセス誘導が4万件弱 - 更新未適用者が標的に (Security NEXT, 2014/12/03)
http://www.security-next.com/054134
https://malware-log.hatenablog.com/entry/2014/12/03/000000_1

◆広告ウイルスと情報流出が拡大:7月-9月セキュリティー調査 (読売新聞, 2015/11/20 17:20)
http://www.yomiuri.co.jp/science/goshinjyutsu/20151120-OYT8T50088.html
https://malware-log.hatenablog.com/entry/2015/11/20/000000

◆エクスプロイトキット最新動向分析:Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃 (Trendmicro, 2016/03/15)
http://blog.trendmicro.co.jp/archives/13017

◆不正広告攻撃、著名サイトに影響か - Malwarebytesが指摘 (Security NEXT, 2016/03/16)
http://www.security-next.com/067892

◆ランサムウェア、エクスプロイトキットから生成されるマルウェアで最大勢力へ (マイナビニュース, 2016/06/10)
http://news.mynavi.jp/news/2016/06/10/086/

◆エクスプロイトキットによるウェブ経由の攻撃、「Angler」が急拡大 (Security NEXT, 2016/06/10)
http://www.security-next.com/070874

◆脆弱性攻撃ツールの急速な世代交代 (Trendmicro, 2016/06/27)
http://www.is702.jp/news/1981/

◆NEUTRINO EK STOPS ADVERTISEMENTS WHILE RIG EK ACTIVITY INCREASES (MALWARE BREAKDOWN, 2016/10/02)
https://malwarebreakdown.com/2016/10/02/neutrino-ek-stops-advertisements-while-rig-ek-activity-increases/

◆エクスプロイトキット「RIG」が活発 - 国内サイト経由でランサム誘導 (Security NEXT, 2016/10/17)
http://www.security-next.com/074841

◆エクスプロイトキット「Rig」による攻撃を多数観測、IEやFlashの脆弱性を悪用、IIJ-SECTや米Symantecが注意喚起 (Internet Watch, 2016/10/18 13:04)
http://internet.watch.impress.co.jp/docs/news/1025375.html

◆RIG の詳細な分析 (Cisco Japan Blog(TALOS), 2016/11/14 12:47)
http://gblogs.cisco.com/jp/2016/11/rig-exploit-kit-campaign-happy-puzzling/?doing_wp_cron=1490790526.0451600551605224609375

◆JavaScriptを添付した不正メールが69%増加 - 過去最高に (Security NEXT, 2016/12/19)
http://www.security-next.com/076734

◆2016年12月のマルウェア、トロイの木馬「Kotver」の沈静化で大幅減 (Security NEXT, 2017/01/19)
http://www.security-next.com/077344

◆「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導 (Security NEXT, 2017/02/02)
http://www.security-next.com/078077

◆マルウェアメールが大幅減、「Necurs」停滞が影響か - 新種マルウェアは3290万件 (Security NEXT, 2017/02/23)
http://www.security-next.com/078801

◆エクスプロイトキット、過去半年は沈静傾向 (マイナビニュース, 2017/04/17 17:00)
https://news.mynavi.jp/article/20170417-a239/

◆「Princess」ランサムウェア拡散にRIGエクスプロイトキットが利用される--研究者 (ZDNet, 2017/09/05)
https://japan.zdnet.com/article/35106798/

◆RIG, Magnitude, and Disdain among top EKs of summer '17 (SCmedia, 2017/09/14)
https://www.scmagazine.com/the-rig-ek-continues-to-remain-the-most-consistently-active-ek/article/688585/

◆Malvertising Campaign Uses RIG EK to Drop Quant Loader which Downloads FormBook. (Malware Breakdown, 2017/10/10)
https://malwarebreakdown.com/tag/quant-loader/

◆ランサムウェア「GandCrab」、2種類のエクスプロイトキットで拡散--Malwarebytes報告 (ZDNet, 2018/02/01 13:08)
https://japan.zdnet.com/article/35114045/?tag=mcol;relArticles

◆The Rig Exploit Kit Has Forsaken Ransomware for Coinminers (BleepingComputer, 2018/02/26 14:27)
https://www.bleepingcomputer.com/news/security/the-rig-exploit-kit-has-forsaken-ransomware-for-coinminers/

◆先週のサイバー事件簿 - 大阪北部地震に乗じたサイバー攻撃やフィッシングメールに注意 (マイナビニュース, 2018/06/25 20:16)

脆弱性攻撃ツール「Rig EK」が仮想通貨発掘マルウェアを拡散

https://news.mynavi.jp/article/20180625-security/

◆RIG Exploit Kit still infects enterprise users via Internet Explorer (BleepingComputer, 2023/02/27 10:05)
[RIG Exploit Kitは、依然としてInternet Explorer経由で企業ユーザーに感染しています。]
https://www.bleepingcomputer.com/news/security/rig-exploit-kit-still-infects-enterprise-users-via-internet-explorer/
https://malware-log.hatenablog.com/entry/2023/02/27/000000


【ブログ】

◆狙いは IE、Java、Flash、Silverlight:Web経由脆弱性攻撃の手口 (Trendmicro, 2014/11/28)
http://blog.trendmicro.co.jp/archives/10451

◆エクスプロイトキット最新動向分析:狙われる国、与える影響の大きさ (Trendmicro, 2016/03/22)
http://blog.trendmicro.co.jp/archives/13079

◆Angler EK の活動が停滞。他のエクスプロイトキットによる新暗号化型ランサムウェア拡散を確認 (trendmicro, 2016/06/24)
http://blog.trendmicro.co.jp/archives/13538

◆RIG Exploit Kit Makes A Sprash In Russia (ForcePoint, 2016/06/27)
https://www.forcepoint.com/ja/blog/security-labs/rig-exploit-kit-makes-sprash-russia

◆Exploit kit shakedown: RIG EK grabs Neutrino EK campaigns (MalwarebytesLabs, 2016/08/15)
https://blog.malwarebytes.com/threat-analysis/exploits-threat-analysis/2016/08/exploit-kit-shakedown-rig-ek-grabs-neutrino-ek-campaigns/

◆暗号化型ランサムウェア「CERBER」のバージョン3.0、不正広告で拡散 (Trendmicro, 2016/09/05)
http://blog.trendmicro.co.jp/archives/13770

◆暗号化型ランサムウェア「CryLocker」、PNGファイルを利用して収集情報を正規画像共有サービスにアップロード (Blogarama, 2016/09/12)
http://www.blogarama.com/blogs/558754-torendomaikuro-sekyuritiburogu-blog/11642324-anhaohuaxingransamuueacrylockerpngfairuwoliyongshiteshoujiqingbaowozhengguihuaxianggongyousabisuniappurodo

◆A new version of the Rig EK (PC's Xcetra Support, 2016/09/19)
https://pcsxcetrasupport3.wordpress.com/2016/09/19/a-new-version-of-the-rig-ek/

◆EITest攻撃の進化: Angler EKからNeutrinoそしてRigへ (Paloalto, 2016/10/04 16:00)
https://www.paloaltonetworks.jp/company/in-the-news/2016/161004-unit42-eitest-campaign-evolution-angler-ek-neutrino-rig.html

◆複数のエクスプロイトキットに利用される「CERBER 4.0」 (Trendmicro, 2016/10/14)
http://blog.trendmicro.co.jp/archives/13897

◆Rig Exploit Kit 観測数の拡大に関する注意喚起 (IIJ-SECT, 2016/10/17)
https://sect.iij.ad.jp/d/2016/10/178746.html

◆Rig Exploit kit – Compromised sites deliver GootKit and CryptFile2 ransomware (Broadanalysis, 2016/10/18)
http://www.broadanalysis.com/2016/10/18/rig-exploit-kit-compromised-sites-deliver-gootkit-and-cryptfile2-ransomware/

◆An analysis of the RIG exploit kit (nettitude labs, 2016/10/27)
https://labs.nettitude.com/blog/an-analysis-of-the-rig-exploit-kit/

◆EITEST RIG EK SENDS CRYPTFILE2 RANSOMWARE & CHTHONIC BANKING TROJAN (Malware Traffic Analysis, 2016/10/28)
http://www.malware-traffic-analysis.net/2016/10/28/index2.html

◆ステガノグラフィの手法を駆使するエクスプロイトキット「Sundown EK」を確認 (Trendmicro, 2017/01/15)
http://blog.trendmicro.co.jp/archives/14214

◆Sage 2.0 ランサムウェアの感染拡大? (Barracuda, 2017/03/15)
http://www.barracuda.co.jp/column/detail/767

◆EITest Leads to RIG EK at 92.53.124.144 and Drops Dreambot (MALWARE BREAKDOWN, 2017//3/29)
https://malwarebreakdown.com/2017/03/29/eitest-leads-to-rig-ek-at-92-53-124-144-and-drops-dreambot/

◆CVE-2015-8651 (Flash up to 20.0.0.228/235) and Exploit Kits (MDNC, 2018/01/25)
https://malware.dontneedcoffee.com/2016/01/cve-2015-8651.html

◆Exploit kits: Winter 2018 review (Malwarebytes, 2018/03/29)
https://blog.malwarebytes.com/threat-analysis/2018/03/exploit-kits-winter-2018-review/

◆古いものと新しいもの: Webベースの脅威における最新の傾向 (paloalto, 2018/06/20 05:00)
https://www.paloaltonetworks.jp/company/in-the-news/2018/unit42-the-old-and-new-current-trends-in-web-based-threats

◆The Old and New: Current Trends in Web-based Threats (paloalto, 2018/06/20 05:00)
https://researchcenter.paloaltonetworks.com/2018/06/unit42-the-old-and-new-current-trends-in-web-based-threats/

◆主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 (Trendmicro, 2018/07/19)
https://blog.trendmicro.co.jp/archives/tag/grandsoft-ek

◆新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集 (Trendmicro, 2018/08/17)
https://blog.trendmicro.co.jp/archives/19418


【公開情報】

◆Ransomware dominates the threat landscape (MalwareBytes, 2016/06/07)
https://blog.malwarebytes.org/cybercrime/2016/06/ransomware-dominates-the-threat-landscape/

◆「ランサムウェア」「標的型攻撃」...次なるキーワードは (Ahnlab, 2016/08)
https://jp.ahnlab.com/global/upload/download/asecreport/PressAhn_201608_Vol32.pdf

◆RIG-EK改ざんサイト無害化の取組 (JC3, 2017/02/02)
https://www.jc3.or.jp/topics/op_rigek.html


【資料】

◆CYBER GRID VIEW 2017 Vol.3 (LAC, 2017/02/02)
https://www.lac.co.jp/lacwatch/pdf/20170202_cgview_vol3_f001t.pdf


【図表】


2018 年前半に確認された各エクスプロイトキットの活動(6 月の数値は 25 日までを集計)

各エクスプロイトキットによる攻撃の国別分布
出典: https://blog.trendmicro.co.jp/archives/19316


出典: http://gblogs.cisco.com/jp/2016/11/rig-exploit-kit-campaign-happy-puzzling/?doing_wp_cron=1490790526.0451600551605224609375


Pseudo Darkleechは、改ざんされたサイトに直接 Rig EK のリンクを埋め込む
出典: http://blog.trendmicro.co.jp/archives/13897


Pseudo Darkleechには、ユーザをリダイレクトするサーバへ誘導し、そこから Rig EK へ誘導するものもある
出典: http://blog.trendmicro.co.jp/archives/13897


出典: https://blog.malwarebytes.com/threat-analysis/exploits-threat-analysis/2016/08/exploit-kit-shakedown-rig-ek-grabs-neutrino-ek-campaigns/


2016年5月15日から6月15日にかけてのエクスプロイトキットの活動(By Trendmicro)
出典: http://blog.trendmicro.co.jp/archives/13538



出典: https://blog.malwarebytes.org/cybercrime/2016/06/ransomware-dominates-the-threat-landscape/

ウェブ経由の攻撃推移(Symantec)
出典: http://www.security-next.com/070874


【関連まとめ記事】

全体まとめ
 ◆マルウェア / Malware (まとめ)

◆Exploit Kit (まとめ)
https://malware-log.hatenablog.com/entry/Exploit_Kit


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023