Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散

今回確認されたケースでは、Visaが提供する電子マネーの「Visa payWave」に関連したメールを偽装。ロシア語で記載されており、脆弱性を悪用するRTFファイルを添付していた。

サンドボックスなどの検出を避けるため、ファイルにはパスワードを設定。受信者へ本文中に記載したパスワードを利用して開くよう求める。

マルウェアと気が付かずに誤って開くと文書が開かれると同時に、バックグラウンドでPowerShellスクリプトが動作。「Cobalt Strike」のクライアントがメモリ上で直接実行させられるという。

「CVE-2017-11882」は、公表当初、「脆弱性が悪用される可能性は低い」とレーティングされており、攻撃に利用される見込みは低いと見られたが、公開から2週間ほどで、悪用するマルウェアが登場したことになる。

攻撃の発生を受け、情報処理推進機構(IPA)も脆弱性について注意喚起を実施。修正プログラムを適用していない場合は、早急にアップデートするよう呼びかけている。

お詫びと訂正:本記事初出時の記載において、「Cobalt」の説明について誤りがあり一部削除しました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/11/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

複数端末がマルウェア感染、情報流出の可能性 - 富士通
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
ランサム被害による子会社情報の流出を確認 - 綜研化学
ヘアケアツール通販サイトに不正アクセス - 個人情報流出の可能性
トヨタの社用車管理サービスに不正アクセス - 原因は古いアクセスキー
求職情報サイトが侵害、CMSプラグインの脆弱性突かれる - 日刊工業新聞
静岡県委託先で個人情報が流出 - 開発会社からアクセスキーが漏洩
特定保健指導の参加者情報が外部流出 - 伊丹市
「Proself」にゼロデイ攻撃、関係者情報が流出 - 日本学術振興会
自動車パーツの通販サイトに不正アクセス - エンラージ商事