IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用

今回の脆弱性が発見されるきっかけとなった「AdGholas」は、広告プラットフォームを用いて広くマルウェアを拡散させるいわゆる「マルバタイジング」のキャンペーン。2013年ごろより活動を開始し、2015年夏ごろから現在の攻撃スタイルを確立していたと見られる。

OEM版ではないWindowsを搭載した端末や、NvidiaやATIのドライバを含まない端末を避けるなど、多段階の洗練されたフィルタリングやステガノグラフィの技術を活用。20以上の広告配信プラットフォームから情報を受け取り、国やユーザーエージェントなどによって攻撃対象を選別していた。

問題の広告は1日あたり100〜500万のユーザーが閲覧していたと同社では分析しており、日本が攻撃対象に含まれていたことも判明している。

配信対象の1割から2割ほどを「Angler」や「Neutrino」などをはじめとするエクスプロイトキットへ誘導。1日あたり数千台規模のマルウェア感染を引き起こしていたと推定される。国によって異なる不正送金マルウェアを感染させていた。

さらに同社の調査では、少なくとも2014年1月に「Angler EK」へ誘導するマルバタイジングで「CVE-2016-3351」が悪用されていたほか、同年9月には別のマルバタイジングで「Astrum EK」へ誘導する際に利用。2016年に入ってからも、マルバタイジングを展開する「GooNky」によって悪用されていたことが判明している。

（Security NEXT - 2016/09/14 ） ツイート

PR

関連記事

Fortinet、「FortiOS」に関する複数の脆弱性を解消
「FortiSIEM」に深刻なRCE脆弱性 - 実用的な悪用コードも
オンライン会議ツール「Zoom」に「クリティカル」脆弱性
米当局、「IE」「Excel」「WinRAR」の脆弱性悪用に注意喚起
「Chrome」にアップデート - 6件のセキュリティ修正
Adobe、13製品にセキュリティパッチ - 脆弱性68件に対応
MS、8月の月例セキュリティ更新で100件以上の脆弱性に対応
「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明
秘密管理ツール「OpenBao」に脆弱性 - 任意のコード実行が可能に
Omnissaのメールセキュリティ製品にSSRFの脆弱性 - アップデートが公開