NERV Security Blog

ロシアの施設に使用された新しいFlash Playerのゼロデイ

  • 2018年12月12日

過去数年間にて、Officeドキュメントは、exploit kitを主なマルウェア感染経路として変わり、結果、攻撃方法に対して、ソーシャルエンジニアリングとエクスプロイトの選択肢を与えました。

現在の悪意のあるスパム(malspam)はマクロや一般的な脆弱性(CVE-2017-11882)に大きく依存していますが、標的を侵害しようとするとゼロデイになる可能性もあります。

他ブログ記事である「Gigamon」と「360 Core Security」は、Flash Player(バージョン31.0.0.153以前)への新しいゼロデイ攻撃(CVE-2018-15982)がどのように使用されたかを説明しています。 新しい脆弱性にもかかわらず、Malwarebytesはこの攻撃を防ぐことが可能です。

Flash Objectは、モスクワの診療所からのアンケートとして偽造されたOfficeドキュメント内に組み込まれています。

↑ドットに、ActiveX Objectが組み込まれています。

 

ここ数年で、WebブラウザーでのFlashの使用が減少しているため、Flash ActiveXがOfficeファイルに埋め込まれている方法が使用されています。この攻撃は、今年の初めに、韓国でも(Adobeの脆弱性No:CVE-2018-4878として)確認されました。

「360 Core Security」(セキュリティニュースサイト)は、「com.adobe.tvsdk.mediacore.metadata」と呼ばれるFlash パッケージ内の「Use After Free」(攻撃方法名)の脆弱性(ゼロデイ攻撃として)を確認しています。

最終的にバックドアをロードした脆弱性プロセスの一部を使用した偽のjpeg file (シェルコード)を含んだWinRARから罠が仕込まれたドキュメントを実行します。

↑攻撃に関与するプロセスを示す利用フロー

 

セキュリティ調査を行っている人達が指摘するように、このこのゼロデイ攻撃のタイミングは、最近のロシアとウクライナ間の実際の事件に近いものです。 両国間のサイバー攻撃は何年も続いており、電力網などの主要インフラに影響を与えてきました。

Malwarebytesのユーザーは、シグネチャを更新する必要はなく、このゼロデイに対してすでに保護されていました。 マルウェアのペイロードをTrojan.CrisisHT.APTとして検出します。

↑Malwarebytesにて検出されたゼロデイ攻撃

 

Adobeはこの脆弱性(セキュリティ情報APSB18-42)にすでにパッチを当てており、Flash Playerを使用している場合はこのパッチを適用することを強く推奨します。典型的な脆弱性へのパッチ・サイクルに続いて、他の攻撃者がコードを手にすると、ゼロデイが主流になることがよくあります。 このため、この脆弱性が近い将来、ドキュメントエクスプロイトキットとWebエクスプロイトキットに統合されることが期待しています。

https://blog.malwarebytes.com/malwarebytes-news/2018/12/new-flash-player-zero-day-used-russian-facility/ :より引用

Malwarebytes マルウェアバイト

 

取扱製品

Safend Data Protection Suite
Safend Protector
ポート・デバイスの制御を実施し、記憶媒体の暗号化も実施します。 詳しくはこちら
Safend Encryptor
内蔵HDDを暗号化し、盗難・紛失からの情報漏えいを防止します。 詳しくはこちら
Safend Inspector
社内の機密情報をプリンター、メール、FTPなどの経路から流出しないよう制限をかけ、情報流出を防ぎます。 詳しくはこちら
その他
セキュリティポリシーを検討を補佐するオプションもご用意しています。
Safend Auditor-デバイスの監査
Safend Repoter-ログの可視化
Safend Discover-クライアント内のデータ監査
詳しくはこちら
Malwarebytes
Endpoint Security
高度なマルウェアの発見と修正、悪意のあるウェブサイトへブロック 詳しくはこちら
Endpoint Protection
業界最高レベルの情報収集技術を持った次世代マルウェア対策ソフトウェア 詳しくはこちら
Gate Scanner
Gate Scanner
CDR技術を利用し、組織内へランサムウェア、ゼロデイ、そして従来のウイルスの侵入を防止します 詳しくはこちら