RIG EKは、その展開方法において、かなり動的なものといえます。このランディングページは、たとえば、様々なセキュリティソフトウェアを回避するために、コンテンツが難読化またはしばしば書き換えられています。しかし、RIG EK異なった手法を使います。このKitは、被害者のマシン上に最終的にランディングするページをロードする前に、プレランディングページを用意しています。我々が観察したところ、(驚くべきことに!)このページは、2016年12月から変更されていません。

RIG EKの典型的な感染手法には、以下のようなプレランディングページが差し挟まれています。

プレランディングページの例を見てみましょう

プレランディングページ

プレランディングページは、RIG ExploitランディングページをロードするURLを含み、被害者のコンピュータのブラウザの脆弱性を攻撃します。

RIG EKランディングページのURL

http://acc[.]dognametags[.]org/?ie=UTF-16&sourceid=yandex&es_sm=104&q=znrQMvXcJwDQDoPGMvrESLtEMUnQA0KK2OH_766yEoH9JHT1vrPUSkrtt&aqs=yandex.120c96.406f0r4&oq=gWCel6CoPcuL7sBOwHhjUKILwJhno9cU19CpayqiUaDyR6Y1sLX-By9UTo

プレランディングページは、まず、'getBrowser'と呼ばれるファンクションをコールすることで、ブラウザのバージョンをチェックし、ブラウザに脆弱性があるかどうかを確認します。もし、ブラウザに脆弱性がある場合、上記に記載した、RIG EKランディングページURLを呼び出す、POSTリクエストを送り付けます。

上記のプレランディングページの構造は、過去6か月変更されていません。

検出傾向

怪しいサイト例

acc.dognametags[.]org
top.wildcoastcampinggear[.]com
see.smartpettags[.]org
vfv.chronic-organics[.]com
new.hayatgroup[.]net
new.wildcoastcampinggear[.]ca
dd.3dwtoledo[.]com
all.rebatebutton[.]com

常に進化するサイバー脅威の中で、RIG EKは、すでによく知られた手法を通じて持ち込まれるので、それほど気にしなくてもよいかもしれませんが、改めて、セキュリティ製品を常にアップデートするように、アドバイスいたします。