Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開

Windowsのタスクスケジューラに未修正の深刻な脆弱性が発見された問題で、エクスプロイトを用いた攻撃キャンペーンが確認された。

「PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

攻撃は限定的に展開しているものと見られ、被害が大きく拡大しているわけではないが、同社が「VirusTotal」の登録状況などを調査したところ、チリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、米国、ウクライナにおいて攻撃が確認された。

同社は、同グループが過去に展開した攻撃として、メールの添付ファイルを用いたケースがあると指摘。5月に確認された攻撃では、「slkファイル」を悪用して「Excel」に「PowerShell」を実行させる手法を用いていた。

攻撃が成功すると「Windows」に対して2段階のバックドアを使用。さらに組織内部のネットワークへラテラル攻撃も展開していた。今後こうした攻撃に今回の脆弱性が悪用されるおそれもある。

同社では、「PowerPool」が今回使用したエクスプロイトや、過去に用いたマルウェア、コマンド&コントロール(C&C)サーバなどの情報を公開。同脆弱性を悪用した攻撃は、現状限られているものの、すでに広く利用できる状態にあると指摘し、注意を呼びかけている。

20180906_es_001.jpg
ESETが確認した「PowerPool」が用いるマルウェアのハッシュ値

(Security NEXT - 2018/09/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Adobe Acrobat/Reader」に深刻な脆弱性 - まもなく今月2度目のアップデート
ソーシャルボタン設置する「WordPress」用プラグインに深刻な脆弱性
MQTTプロトコル汎用ライブラリの旧版にDoS攻撃受ける脆弱性
VMwareの複数製品に「runc」の脆弱性 - 一部製品にアップデート
「なりすまし」生じる「Exchange Server」の脆弱性へ対処 - MS
MS月例パッチ 、脆弱性74件を修正- 悪用確認済みのゼロデイ脆弱性にも対応
コンテナランタイム「runc」の脆弱性、実証コードが複数公開 - 早期対策を
「ColdFusion」に深刻な脆弱性 - コード実行のおそれ
Mozilla、3件の脆弱性に対処した「Firefox 65.0.1」をリリース
「Exchange Server」の深刻な脆弱性、MSがアップデートを開発中