Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用

今回の脆弱性が発見されるきっかけとなった「AdGholas」は、広告プラットフォームを用いて広くマルウェアを拡散させるいわゆる「マルバタイジング」のキャンペーン。2013年ごろより活動を開始し、2015年夏ごろから現在の攻撃スタイルを確立していたと見られる。

OEM版ではないWindowsを搭載した端末や、NvidiaやATIのドライバを含まない端末を避けるなど、多段階の洗練されたフィルタリングやステガノグラフィの技術を活用。20以上の広告配信プラットフォームから情報を受け取り、国やユーザーエージェントなどによって攻撃対象を選別していた。

問題の広告は1日あたり100〜500万のユーザーが閲覧していたと同社では分析しており、日本が攻撃対象に含まれていたことも判明している。

配信対象の1割から2割ほどを「Angler」や「Neutrino」などをはじめとするエクスプロイトキットへ誘導。1日あたり数千台規模のマルウェア感染を引き起こしていたと推定される。国によって異なる不正送金マルウェアを感染させていた。

さらに同社の調査では、少なくとも2014年1月に「Angler EK」へ誘導するマルバタイジングで「CVE-2016-3351」が悪用されていたほか、同年9月には別のマルバタイジングで「Astrum EK」へ誘導する際に利用。2016年に入ってからも、マルバタイジングを展開する「GooNky」によって悪用されていたことが判明している。

(Security NEXT - 2016/09/14 ) このエントリーをはてなブックマークに追加

PR

関連記事

iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
「Plesk」のXML API関連に複数の深刻な脆弱性
プリンタ「HP DeskJet 2800シリーズ」に脆弱性 - 機密情報漏洩のおそれ
リモートアクセスツール「UltraVNC」に複数の脆弱性
「Dell PowerProtect Data Domain」に143件の脆弱性 - 修正版が公開
「ColdFusion」や「Langflow」の脆弱性悪用に注意喚起 - 米当局
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性