1 月 31 日、KISA (KrCERT) は、実際に悪用されている Adobe Flash のゼロデイ脆弱性 (CVE-2018-4878) に関するアドバイザリを公開しました。 2 月 1 日、Adobe は、脆弱性が Adobe Flash Player 28.0.0.137 およびそれ以前のバージョンに存在し、悪用に成功すると、攻撃者が影響を受けるシステムを制御できる可能性があることを確認するアドバイザリを発行しました。
FireEye は、KISA から最初のアドバイザリがリリースされた後、脆弱性の調査を開始しました。
脅威の帰属
この最新の Flash ゼロデイを使用している攻撃者は、TEMP.Reaper として追跡している北朝鮮の疑いのあるグループであると私たちは判断しています。 TEMP.Reaper のオペレーターが、平壌の STAR-KP ネットワークに割り当てられた IP アドレスから、コマンド アンド コントロール インフラストラクチャと直接対話していることが確認されています。 STAR-KP ネットワークは、北朝鮮政府の Post and Telecommunications Corporation とタイに本拠を置く Loxley Pacific との合弁事業として運営されています。歴史的に、彼らの標的の大部分は、韓国政府、軍、および防衛産業基盤に焦点を当ててきました。ただし、昨年は他の国際的なターゲットに拡大しました。彼らは、韓国の統一努力や脱北者など、朝鮮民主主義人民共和国 (DPRK) にとって直接的に重要な主題に関心を持っています。
昨年、FireEye iSIGHT Intelligence は、新たに開発されたワイパー マルウェアが TEMP.Reaper によって展開されていることを発見しました。これは、RUHAPPY として検出されます。 TEMP.Hermit など、北朝鮮の疑いのある他の脅威グループが破壊的な攻撃にワイパー マルウェアを使用していることは確認していますが、TEMP.Reaper が標的に対して積極的にワイパー マルウェアを使用していることはこれまでのところ確認していません。
攻撃シナリオ
エクスプロイト チェーンの分析は進行中ですが、利用可能な情報は、SWF ファイルが埋め込まれた悪意のあるドキュメントまたはスプレッドシートで Flash ゼロデイが配布されたことを示しています。開封して悪用に成功すると、暗号化された埋め込みペイロードの復号化キーが、韓国でホストされている侵害されたサードパーティの Web サイトからダウンロードされます。予備的な分析によると、この脆弱性は、以前に観測された DOGCALL マルウェアを韓国の被害者に配布するために使用された可能性が高いことが示されています。
推奨事項
アドビは、2018 年 2 月 5 日の週にこの問題の修正プログラムをリリースする予定であると述べました。 それまでは、特に韓国のサイトにアクセスする際には細心の注意を払い、疑わしいドキュメント、特に Excel スプレッドシートを開かないことをお勧めします。パッチが利用可能になる前に脆弱性が公開されたため、別の犯罪グループや国家グループが近いうちに脆弱性を悪用しようとする可能性があります。
FireEye ソリューションの検出
FireEye Email Security、Exploit Guard が有効になっている Endpoint Security、および Network Security 製品は、悪意のあるドキュメントをネイティブに検出します。リスクウェア機能を有効にしている電子メール セキュリティおよびネットワーク セキュリティのお客様には、悪意のあるドキュメントに埋め込まれた疑わしいコンテンツに基づく追加のアラートが表示される場合があります。詳細については、 FireEye カスタマー コミュニティの投稿をご覧ください。
参照: https://www.mandiant.com/resources/blog/attacks-leveraging-adobe-zero-day
Comments