Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散

今回確認されたケースでは、Visaが提供する電子マネーの「Visa payWave」に関連したメールを偽装。ロシア語で記載されており、脆弱性を悪用するRTFファイルを添付していた。

サンドボックスなどの検出を避けるため、ファイルにはパスワードを設定。受信者へ本文中に記載したパスワードを利用して開くよう求める。

マルウェアと気が付かずに誤って開くと文書が開かれると同時に、バックグラウンドでPowerShellスクリプトが動作。「Cobalt Strike」のクライアントがメモリ上で直接実行させられるという。

「CVE-2017-11882」は、公表当初、「脆弱性が悪用される可能性は低い」とレーティングされており、攻撃に利用される見込みは低いと見られたが、公開から2週間ほどで、悪用するマルウェアが登場したことになる。

攻撃の発生を受け、情報処理推進機構(IPA)も脆弱性について注意喚起を実施。修正プログラムを適用していない場合は、早急にアップデートするよう呼びかけている。

お詫びと訂正:本記事初出時の記載において、「Cobalt」の説明について誤りがあり一部削除しました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

(Security NEXT - 2017/11/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

業務用ユニフォームの通信販売サイトに不正アクセス
懲戒処分の検討契機に別職員による不正アクセスが発覚 - 小竹町
「Emotet」感染、なりすましメールに注意喚起 - 都築電気
県民プール利用者情報が流出、マルウェア感染で - 和歌山県
個人情報流出の可能性示す痕跡を発見、最大対象件数を算出 - リニカル
複数教員のメールアカウントに不正アクセス - 名古屋大
「ちばシティポイント」参加者のアカウント情報などが外部流出の可能性 - 千葉市
LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も
富士通のプロジェクト情報共有ツール、129組織で情報流出
認証連携APIに不正アクセス、DCの不審アカウントきっかけに判明 - 弥生