「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C＆Cは偽求人サイト

6月7日に定例外のアップデートで急遽修正された「Adobe Flash Player」のゼロデイ脆弱性「CVE-2018-5002」。同脆弱性を悪用する標的型攻撃は、3カ月以上前から準備されていた可能性がある。

Adobe Systemsが「Adobe Flash Player」のアップデートをリリースした際、すでに悪用されていることを公表しているが、同社へ今回の脆弱性を報告したQihoo 360が、ゼロデイ攻撃の詳細について明らかにしたもの。

同社によると、6月1日に同脆弱性を用いた攻撃をはじめて把握したという。攻撃に用いられたファイルの拡張子は「.xlsx」。アラブ語で記載されたExcelファイルで、中東地域を対象とする攻撃に用いられた。

受信者がファイルを開いた時点で、リモートのコマンド＆コントロール（C＆C）サーバよりSWFコンテンツを読み込み、さらに暗号化された今回の脆弱性を悪用するエクスプロイトやペイロードなどを取得、実行するしくみだった。

攻撃の流れ（図：Qihoo 360）

（Security NEXT - 2018/06/15 ）ツイート