Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開

Windowsのタスクスケジューラに未修正の深刻な脆弱性が発見された問題で、エクスプロイトを用いた攻撃キャンペーンが確認された。

「PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

攻撃は限定的に展開しているものと見られ、被害が大きく拡大しているわけではないが、同社が「VirusTotal」の登録状況などを調査したところ、チリ、ドイツ、インド、フィリピン、ポーランド、ロシア、イギリス、米国、ウクライナにおいて攻撃が確認された。

同社は、同グループが過去に展開した攻撃として、メールの添付ファイルを用いたケースがあると指摘。5月に確認された攻撃では、「slkファイル」を悪用して「Excel」に「PowerShell」を実行させる手法を用いていた。

攻撃が成功すると「Windows」に対して2段階のバックドアを使用。さらに組織内部のネットワークへラテラル攻撃も展開していた。今後こうした攻撃に今回の脆弱性が悪用されるおそれもある。

同社では、「PowerPool」が今回使用したエクスプロイトや、過去に用いたマルウェア、コマンド&コントロール(C&C)サーバなどの情報を公開。同脆弱性を悪用した攻撃は、現状限られているものの、すでに広く利用できる状態にあると指摘し、注意を呼びかけている。

20180906_es_001.jpg
ESETが確認した「PowerPool」が用いるマルウェアのハッシュ値

(Security NEXT - 2018/09/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware Tools for Windows」に脆弱性 - 重要度は「低」
Google、ブラウザ最新版「Chrome 108」をリリース - 複数脆弱性を修正
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性を修正
Zohoのアクセス関連製品に複数のSQLi脆弱性
ID管理製品「Atlassian Crowd」に深刻な脆弱性
オープンソースの検索エンジン「OpenSearch」に脆弱性
シングルページアプリの脆弱性診断サービスを開始 - Flatt Security
「Atlassian Bitbucket」に深刻な脆弱性 - アップデートの実施を
「Zimbra」に複数の脆弱性 - 修正版をリリース
「LibTIFF」に脆弱性、悪用コードが公開済み - パッチの適用を