Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開

Windowsのタスクスケジューラに未修正の深刻な脆弱性が発見された問題で、エクスプロイトを用いた攻撃キャンペーンが確認された。

「PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

攻撃は限定的に展開しているものと見られ、被害が大きく拡大しているわけではないが、同社が「VirusTotal」の登録状況などを調査したところ、チリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、米国、ウクライナにおいて攻撃が確認された。

同社は、同グループが過去に展開した攻撃として、メールの添付ファイルを用いたケースがあると指摘。5月に確認された攻撃では、「slkファイル」を悪用して「Excel」に「PowerShell」を実行させる手法を用いていた。

攻撃が成功すると「Windows」に対して2段階のバックドアを使用。さらに組織内部のネットワークへラテラル攻撃も展開していた。今後こうした攻撃に今回の脆弱性が悪用されるおそれもある。

同社では、「PowerPool」が今回使用したエクスプロイトや、過去に用いたマルウェア、コマンド&コントロール(C&C)サーバなどの情報を公開。同脆弱性を悪用した攻撃は、現状限られているものの、すでに広く利用できる状態にあると指摘し、注意を呼びかけている。

20180906_es_001.jpg
ESETが確認した「PowerPool」が用いるマルウェアのハッシュ値

(Security NEXT - 2018/09/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

Mac向けZoom製ウェブ会議ソフトに脆弱性 - ウェブ閲覧でカメラ起動
Juniper、「Junos OS」など複数製品向けにセキュリティアップデート
「Adobe Experience Manager」に情報漏洩の脆弱性
「Firefox 68」がリリース、クリティカル含む脆弱性21件を解消
「アクセス解析CGI An-Analyzer」に複数の脆弱性
「7pay」が全面的にチャージ停止 - 「7iD」のPW再設定機能は修正中
「Cisco DCNM」に複数の深刻な脆弱性 - アップデートで修正
Linux SACK処理の脆弱性、VMwareの31製品に影響
MSが「Azure Sphere」評価版を更新、Linux脆弱性を修正 - AKS利用者なども注意
ICカード対応施錠管理製品に認証回避のおそれ