すでに聞いたことがあるなら、ここで止めてください。Adobe Flash のゼロデイ脆弱性が積極的に狙われており、被害者の Windows PC を乗っ取ろうとしています。
Gigamon Applied Threat Research (ATR) と Qihoo 360 の研究者らが CVE-2018-15982 を悪用するフィッシング キャンペーンを発見したため、Adobe は本日、この欠陥を修正するアウトオブバンド緊急アップデートをリリースしました。
現状では、この攻撃はFlashのゼロデイ脆弱性(use-after-free() バグ)を悪用するエクスプロイトコードを、Office文書に埋め込まれたActiveX呼び出しにバンドルしています。攻撃者は、スピアフィッシングメールを介してこの文書を配布します。ATRによると、サンプルの中にはロシアの医療クリニックの文書を模倣したものもあるようですが、特定の企業やグループを標的としたものではないものもあるとのことです。
標的が感染したドキュメントを開くと、ActiveXプラグインがFlash Playerを呼び出して攻撃コードを実行します。そこからCVE-2018-15982が悪用され、マルウェアは本来のペイロードであるリモートコントロールツールをダウンロードしようとします。リモートコントロールツールはシステム情報を収集し、それをコマンド&コントロールシステムに中継します。
ご存知ですか?ウェブページがコンピュータを乗っ取ってしまう重大なセキュリティホールがあります。もちろん、Adobe Flashのせいです。
続きを読む
ATRは、この攻撃パターンが、政府機関にサービスを提供している悪名高いイタリアの傭兵集団であるハッキングチームのソフトウェアによって実行されるタイプの攻撃と非常によく似ていると指摘した。
しかし、研究者たちは、これが Hacking Team の明確な仕業であると断言することには消極的であり、その手法を模倣した類似の活動ではないとしている。
「分析期間内に得られた証拠を考慮すると、このシナリオでは犯人特定は難しいだろうが、検出目的では犯人特定は本当に必要ない」とATRは述べた。
せいぜい、被害者の組織が意図を判断し、対応策を導くのに役立つかもしれないが、実際には、それがHacking Teamであれ、なりすましであれ、あるいは全く無関係であれ、有効なゼロデイが被害者に対する標的型攻撃を実行するために使用された可能性があるという事実は変わらない。
一方、Adobe は、Central Model School Barrackpore の Souhardya Sardar 氏が報告した別の DLL ハイジャック権限昇格の脆弱性である CVE-2018-15982 と CVE-2018-15983 の両方に対処するパッチをリリースしました。
ユーザーと管理者は、できるだけ早くパッチをテストしてインストールすることをお勧めします。または、今すぐにそのパッチを破棄してください。®
