Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用

今回の脆弱性が発見されるきっかけとなった「AdGholas」は、広告プラットフォームを用いて広くマルウェアを拡散させるいわゆる「マルバタイジング」のキャンペーン。2013年ごろより活動を開始し、2015年夏ごろから現在の攻撃スタイルを確立していたと見られる。

OEM版ではないWindowsを搭載した端末や、NvidiaやATIのドライバを含まない端末を避けるなど、多段階の洗練されたフィルタリングやステガノグラフィの技術を活用。20以上の広告配信プラットフォームから情報を受け取り、国やユーザーエージェントなどによって攻撃対象を選別していた。

問題の広告は1日あたり100〜500万のユーザーが閲覧していたと同社では分析しており、日本が攻撃対象に含まれていたことも判明している。

配信対象の1割から2割ほどを「Angler」や「Neutrino」などをはじめとするエクスプロイトキットへ誘導。1日あたり数千台規模のマルウェア感染を引き起こしていたと推定される。国によって異なる不正送金マルウェアを感染させていた。

さらに同社の調査では、少なくとも2014年1月に「Angler EK」へ誘導するマルバタイジングで「CVE-2016-3351」が悪用されていたほか、同年9月には別のマルバタイジングで「Astrum EK」へ誘導する際に利用。2016年に入ってからも、マルバタイジングを展開する「GooNky」によって悪用されていたことが判明している。

(Security NEXT - 2016/09/14 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「SandboxJS」にサンドボックス回避のクリティカル脆弱性などが判明
米当局、「FortiClient EMS」脆弱性の悪用に注意喚起 - 侵害有無の確認も要請
「Amazon Athena ODBCドライバ」に脆弱性 - 修正版がリリース
「MS Edge」にセキュリティ更新 - KEV登録済みゼロデイ脆弱性を修正
「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を
NEC製ルータ「Aterm」シリーズに脆弱性 - 21モデルに影響
「Cisco IMC」に複数の脆弱性 - 管理者権限を奪われるおそれも
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
Apple、「iOS 18.7.7」「iPadOS 18.7.7」の対象デバイスを拡大
「baserCMS」に複数脆弱性 - 「クリティカル」との評価も

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.