Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Flashゼロデイ攻撃、露医療機関文書に偽装 - 伊Hacking Teamと手法類似

「Adobe Flash Player」にあらたな脆弱性が判明し、定例外アップデートが公開されたが、ゼロデイ攻撃にはWordファイルが用いられ、最終的に感染するマルウェアは、伊Hacking Teamの手法と類似したコードが用いられていることがわかった。

今回の脆弱性をAdobe Systemsへ報告したQihoo 360によれば、問題のエクスプロイトは、11月29日にウクライナのIPアドレスからVirusTotalに提出されたものだという。ロシア語で記載されたWordファイルで、JPEGファイルとともにRARファイルとして展開されたものと見られている。

同じく脆弱性を報告したGigamonがエクスプロイトとして利用されたWordファイルを分析したところ、モスクワにある医療機関のロゴなどを悪用。雇用申請書を装っていることが判明した。

Wordファイルへ「Active X」を埋め込む手口で、ファイルを誤って開くと解放後メモリへアクセスする「Use After Free」の脆弱性「CVE 2018-15982」を悪用してコードを実行。JPEGファイルはRARファイルを含んでおり、同ファイルより「リモートアクセスツール(RAT)」を抽出し、実行するしくみだった。

20181207_ch_001.jpg
攻撃の流れ(画像:Qihoo 360)

(Security NEXT - 2018/12/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Citrix ADC」へのゼロデイ攻撃、国内でも11日より観測
「Citrix ADC」狙う悪用コード出回る - ゼロデイ攻撃に注意
MS月例パッチが公開、脆弱性35件を修正 - 一部ですでに悪用も
「Windows」ゼロデイ脆弱性、「Chrome」狙う水飲み場攻撃で悪用
MS月例更新がリリース、脆弱性74件を修正 - 一部でゼロデイ攻撃も
「Chrome」ゼロデイ脆弱性、水飲み場攻撃「WizardOpium作戦」に悪用
「Chrome」に2件の脆弱性、アップデート公開 - ゼロデイ攻撃も確認
「Adobe Acrobat」「Adobe Reader」の定例外更新 - まもなく公開予定
「Webmin」のソースコード改ざんで脆弱性、攻撃コード公開 - アクセス増加の観測も
「IE」ゼロデイ脆弱性へ対処する定例外更新を再リリース - 不具合判明受け