Flashゼロデイ攻撃、露医療機関文書に偽装 - 伊Hacking Teamと手法類似
「Adobe Flash Player」にあらたな脆弱性が判明し、定例外アップデートが公開されたが、ゼロデイ攻撃にはWordファイルが用いられ、最終的に感染するマルウェアは、伊Hacking Teamの手法と類似したコードが用いられていることがわかった。
今回の脆弱性をAdobe Systemsへ報告したQihoo 360によれば、問題のエクスプロイトは、11月29日にウクライナのIPアドレスからVirusTotalに提出されたものだという。ロシア語で記載されたWordファイルで、JPEGファイルとともにRARファイルとして展開されたものと見られている。
同じく脆弱性を報告したGigamonがエクスプロイトとして利用されたWordファイルを分析したところ、モスクワにある医療機関のロゴなどを悪用。雇用申請書を装っていることが判明した。
Wordファイルへ「Active X」を埋め込む手口で、ファイルを誤って開くと解放後メモリへアクセスする「Use After Free」の脆弱性「CVE 2018-15982」を悪用してコードを実行。JPEGファイルはRARファイルを含んでおり、同ファイルより「リモートアクセスツール(RAT)」を抽出し、実行するしくみだった。
攻撃の流れ(画像:Qihoo 360)
(Security NEXT - 2018/12/07 )
ツイート
PR
関連記事
頻繁に悪用された脆弱性トップ15 - 多くでゼロデイ攻撃も
MS、月例パッチで脆弱性90件を修正 - すでに2件は悪用済み
「FortiManager」狙う攻撃 - IoC情報など更新、被害ないか確認を
米当局、「Adobe Flash Player」脆弱性を悪用リストに追加 - 使用中止求める
1週間で脆弱性7件を悪用リストに追加 - 米当局
米当局、悪用確認された脆弱性7件について注意喚起
MSが月例パッチを公開、多数脆弱性を修正 - すでに6件で悪用
ランサム攻撃グループが「ESXi」脆弱性をゼロデイ攻撃に悪用
米当局、「Twilio」や「IE」の脆弱性悪用に注意呼びかけ
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用