アクセスしただけで情報抜かれる偽サイト - サイバー攻撃の事前準備か

今回確認された攻撃では、政府機関、外郭団体、重工業やホテルといった企業など、国内組織の類似ドメインを使用。こうしたサイトへ誘導するメールマガジンなどが送信され、サイトへ誘導していた。

攻撃に利用されている「Scanbox」では、難読化したJavaScriptなどを用いて、端末情報を収集。アクセスした端末のOSやブラウザ、プラグインをはじめ、「SharePoint」「Adobe Flash」「Adobe Reader」「Java」などの環境情報といった情報を集めている。

こうした情報の一部は、通常のウェブアクセスやウェブビーコンなどでも取得される場合があるが、さらに「Scanbox」では、キーロガーの機能を備え、キー入力の内容を窃取するほか、「WebRTC（Web Real-Time Communication)）」によりローカルIPアドレスなどの情報も得ているとみられる。

さらに、2014年9月に「MS14-052」で修正された「Internet Explorer」においてリソース情報が漏洩する脆弱性「CVE-2013-7331」を悪用。セキュリティ対策ソフトをはじめ、端末内にインストールされたソフトウェアやバージョンなども把握されるおそれがある。

（Security NEXT - 2015/07/29 ） ツイート

PR

関連記事

APTグループが「Chrome」ゼロデイ脆弱性を悪用 - リンク経由で感染
「Cobalt Strike」不正利用対策で国際作戦 - 攻撃元IPアドレスを封鎖
国家関与のサイバー攻撃「ArcaneDoor」 - 初期侵入経路は不明、複数ゼロデイ脆弱性を悪用
露APT28のマルウェア「GooseEgg」が見つかる - 2019年4月よりゼロデイ攻撃を展開か
「Office」のゼロデイ脆弱性、ロシア攻撃グループが悪用
米政府、マルウェア「Snake」の分析結果を公開 - 露関与と指摘
取材や講演会依頼装う標的型攻撃 - 「コロナで中止」とつじつま合わせ
2021年度下半期、標的型攻撃対応で62件の緊急レスキュー実施
米同盟やEU、中国支援のサイバー攻撃を批判 - 関係者の訴追も
米政府、サイバー攻撃など理由にロシアへ制裁 - SolarWinds侵害も正式に認定