アクセスしただけで情報抜かれる偽サイト - サイバー攻撃の事前準備か

今回確認された攻撃では、政府機関、外郭団体、重工業やホテルといった企業など、国内組織の類似ドメインを使用。こうしたサイトへ誘導するメールマガジンなどが送信され、サイトへ誘導していた。

攻撃に利用されている「Scanbox」では、難読化したJavaScriptなどを用いて、端末情報を収集。アクセスした端末のOSやブラウザ、プラグインをはじめ、「SharePoint」「Adobe Flash」「Adobe Reader」「Java」などの環境情報といった情報を集めている。

こうした情報の一部は、通常のウェブアクセスやウェブビーコンなどでも取得される場合があるが、さらに「Scanbox」では、キーロガーの機能を備え、キー入力の内容を窃取するほか、「WebRTC（Web Real-Time Communication)）」によりローカルIPアドレスなどの情報も得ているとみられる。

さらに、2014年9月に「MS14-052」で修正された「Internet Explorer」においてリソース情報が漏洩する脆弱性「CVE-2013-7331」を悪用。セキュリティ対策ソフトをはじめ、端末内にインストールされたソフトウェアやバージョンなども把握されるおそれがある。

（Security NEXT - 2015/07/29 ） ツイート

PR

関連記事

「Office」のゼロデイ脆弱性、ロシア攻撃グループが悪用
米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
2021年度下半期、標的型攻撃対応で62件の緊急レスキュー実施
米同盟やEU、中国支援のサイバー攻撃を批判 - 関係者の訴追も
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
さよなら「Adobe Flash Player」 - 2020年末でサポート終了
英政府、ロシアによる東京五輪狙うサイバー攻撃を非難 - 米司法省は関係者を6人を訴追
露「APT29」、ワクチン情報狙いサイバー攻撃か - 2018年の国内検知マルウェアとも関連