Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開

Windowsのタスクスケジューラに未修正の深刻な脆弱性が発見された問題で、エクスプロイトを用いた攻撃キャンペーンが確認された。

「PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

攻撃は限定的に展開しているものと見られ、被害が大きく拡大しているわけではないが、同社が「VirusTotal」の登録状況などを調査したところ、チリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、米国、ウクライナにおいて攻撃が確認された。

同社は、同グループが過去に展開した攻撃として、メールの添付ファイルを用いたケースがあると指摘。5月に確認された攻撃では、「slkファイル」を悪用して「Excel」に「PowerShell」を実行させる手法を用いていた。

攻撃が成功すると「Windows」に対して2段階のバックドアを使用。さらに組織内部のネットワークへラテラル攻撃も展開していた。今後こうした攻撃に今回の脆弱性が悪用されるおそれもある。

同社では、「PowerPool」が今回使用したエクスプロイトや、過去に用いたマルウェア、コマンド&コントロール(C&C)サーバなどの情報を公開。同脆弱性を悪用した攻撃は、現状限られているものの、すでに広く利用できる状態にあると指摘し、注意を呼びかけている。

20180906_es_001.jpg
ESETが確認した「PowerPool」が用いるマルウェアのハッシュ値

(Security NEXT - 2018/09/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

NETGEAR製品に10件のゼロデイ脆弱性 - 多数製品に影響
Palo Alto Networksの「PAN-OS」に認証回避の脆弱性 - VPNなども影響
「Apache Tomcat」に脆弱性 - DoS攻撃受けるおそれ
「VMware ESXi」など複数製品に深刻な脆弱性 - アップデートを
「Magento」に脆弱性 - 「1系」まもなくEOL、最後の更新
RPCフレームワーク「Apache Dubbo」にRCE脆弱性
脆弱性を解消した「Firefox for iOS 27」がリリース
「e-Tax受付システム」利用者向けのChrome拡張機能に脆弱性
「Apache Spark」に脆弱性、アップデートがリリース
Google、「Chrome 83.0.4103.116」をリリース - 脆弱性を修正