Flashゼロデイ攻撃、露医療機関文書に偽装 - 伊Hacking Teamと手法類似
「Adobe Flash Player」にあらたな脆弱性が判明し、定例外アップデートが公開されたが、ゼロデイ攻撃にはWordファイルが用いられ、最終的に感染するマルウェアは、伊Hacking Teamの手法と類似したコードが用いられていることがわかった。
今回の脆弱性をAdobe Systemsへ報告したQihoo 360によれば、問題のエクスプロイトは、11月29日にウクライナのIPアドレスからVirusTotalに提出されたものだという。ロシア語で記載されたWordファイルで、JPEGファイルとともにRARファイルとして展開されたものと見られている。
同じく脆弱性を報告したGigamonがエクスプロイトとして利用されたWordファイルを分析したところ、モスクワにある医療機関のロゴなどを悪用。雇用申請書を装っていることが判明した。
Wordファイルへ「Active X」を埋め込む手口で、ファイルを誤って開くと解放後メモリへアクセスする「Use After Free」の脆弱性「CVE 2018-15982」を悪用してコードを実行。JPEGファイルはRARファイルを含んでおり、同ファイルより「リモートアクセスツール(RAT)」を抽出し、実行するしくみだった。
攻撃の流れ(画像:Qihoo 360)
(Security NEXT - 2018/12/07 )
ツイート
PR
関連記事
ゼロデイ攻撃は8カ月以上前 - 「Active! mail」脆弱性の影響拡大に懸念
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か
「Junos OS」に定例外アップデート - ゼロデイ脆弱性を修正
米当局、Windowsに対するゼロデイ攻撃に注意喚起
Apple、「iOS 18.3.2」など公開 - 旧iOSにゼロデイ攻撃の可能性
MSが3月の月例パッチを公開 - ゼロデイ脆弱性6件を修正
「Ivanti EPM」「VeraCore」が脆弱性攻撃の標的に - 米当局が注意喚起
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
米当局、「7-Zip」などの脆弱性に注意喚起 - 悪用カタログに5件追加
