攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開
Windowsのタスクスケジューラに未修正の深刻な脆弱性が発見された問題で、エクスプロイトを用いた攻撃キャンペーンが確認された。
「PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。
攻撃は限定的に展開しているものと見られ、被害が大きく拡大しているわけではないが、同社が「VirusTotal」の登録状況などを調査したところ、チリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、米国、ウクライナにおいて攻撃が確認された。
同社は、同グループが過去に展開した攻撃として、メールの添付ファイルを用いたケースがあると指摘。5月に確認された攻撃では、「slkファイル」を悪用して「Excel」に「PowerShell」を実行させる手法を用いていた。
攻撃が成功すると「Windows」に対して2段階のバックドアを使用。さらに組織内部のネットワークへラテラル攻撃も展開していた。今後こうした攻撃に今回の脆弱性が悪用されるおそれもある。
同社では、「PowerPool」が今回使用したエクスプロイトや、過去に用いたマルウェア、コマンド&コントロール(C&C)サーバなどの情報を公開。同脆弱性を悪用した攻撃は、現状限られているものの、すでに広く利用できる状態にあると指摘し、注意を呼びかけている。

ESETが確認した「PowerPool」が用いるマルウェアのハッシュ値
(Security NEXT - 2018/09/06 )
ツイート
PR
関連記事
「Red Hat OpenShift AI」に脆弱性 - クラスタ管理者権限奪取のおそれ
「Acronis True Image」に脆弱性、アップデートで修正
Western DigitalのNAS製品「My Cloud」に深刻な脆弱性
「WordPress」にアップデート、複数脆弱性を解消 - 旧版利用者は注意
「NVIDIA App」「Nsight Graphics」に脆弱性 - アップデートを公開
「VMware Aria Operations」や「VMware Tools」に脆弱性 - 修正版を公開
Doxense製プリントサーバ管理ソフト「Watchdoc」に深刻な脆弱性
構成管理ツール「Chef Automate」に深刻な脆弱性 - 9月初旬に修正
「Rancher Manager」に脆弱性 - フィッシング悪用や情報漏洩のおそれ
メールセキュ製品「Libraesva ESG」に脆弱性 - すでに悪用も、国家関与か