IEゼロデイ脆弱性、1年半以上にわたりマルバタイジングが検知回避に利用

今回の脆弱性が発見されるきっかけとなった「AdGholas」は、広告プラットフォームを用いて広くマルウェアを拡散させるいわゆる「マルバタイジング」のキャンペーン。2013年ごろより活動を開始し、2015年夏ごろから現在の攻撃スタイルを確立していたと見られる。

OEM版ではないWindowsを搭載した端末や、NvidiaやATIのドライバを含まない端末を避けるなど、多段階の洗練されたフィルタリングやステガノグラフィの技術を活用。20以上の広告配信プラットフォームから情報を受け取り、国やユーザーエージェントなどによって攻撃対象を選別していた。

問題の広告は1日あたり100〜500万のユーザーが閲覧していたと同社では分析しており、日本が攻撃対象に含まれていたことも判明している。

配信対象の1割から2割ほどを「Angler」や「Neutrino」などをはじめとするエクスプロイトキットへ誘導。1日あたり数千台規模のマルウェア感染を引き起こしていたと推定される。国によって異なる不正送金マルウェアを感染させていた。

さらに同社の調査では、少なくとも2014年1月に「Angler EK」へ誘導するマルバタイジングで「CVE-2016-3351」が悪用されていたほか、同年9月には別のマルバタイジングで「Astrum EK」へ誘導する際に利用。2016年に入ってからも、マルバタイジングを展開する「GooNky」によって悪用されていたことが判明している。

（Security NEXT - 2016/09/14 ） ツイート

PR

関連記事

Windowsの「Snipping Tool」にアップデート - 加工前に復元できる脆弱性
「OpenSSL」に脆弱性、重要度低く今後修正予定
MLOpsプラットフォーム「MLflow」に深刻な脆弱性
「Microsoft Edge 111.0.1661.54」がリリースに - 独自に脆弱性2件を修正
「JavaScript」のランタイム環境「Deno」に脆弱性
「Chrome」にセキュリティアップデート - 8件の修正を実施
IoT機器ファームウェアのOSS構成分析ツール - バイナリにも対応
「Telerik UI」の既知脆弱性、米政府で被害 - 脆弱性スキャナ導入も検知できず
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
Cisco製の小規模向け一部ルータに脆弱性、PoCも - EOLで修正予定なし