マルウェアを配信する電子メールはニュースではありませんが、このキャンペーンは以前にパッチが適用されたエクスプロイトを使用し、対話を必要としないため、注目に値します.
ヨーロッパ言語の電子メールを使用しているアクティブなマルウェアキャンペーンは、CVE-2017-11882エクスプロイトを運ぶRTFファイルを配布します, マイクロソフトセキュリティインテリジェンスチームは最近警告しました. このエクスプロイトにより、攻撃者はユーザーの操作を必要とせずに悪意のあるコードを自動的に実行できます.
CVE-2017-11882の詳細
この脆弱性は、昨年9月にCobIntトロイの木馬を配信するキャンペーンで他のいくつかと組み合わせて使用されました。. その公式の説明によると, マイクロソフトオフィス 2007 サービスパック 3, マイクロソフトオフィス 2010 サービスパック 2, マイクロソフトオフィス 2013 サービスパック 1, およびMicrosoftOffice 2016 攻撃者がでオブジェクトを適切に処理できないことにより、現在のユーザーのコンテキストで任意のコードを実行できるようにする.
CVE-2017-11882の悪用に成功した攻撃者は、現在のユーザーのコンテキストで任意のコードを実行する可能性があります. 現在のユーザーが管理ユーザー権限でログオンしている場合, 攻撃者が影響を受けるシステムを制御して、プログラムをインストールしたり表示したりする可能性があります, 変化する, またはデータを削除します. 攻撃者は、完全なユーザー権限を持つ新しいアカウントを作成することもできます.
マイクロソフトが11月にCVE-2017-11882に手動でパッチを適用したことに注目してください。 2017. 修正されているにもかかわらず, エクスプロイトは依然として攻撃に利用されています, マイクロソフトは過去数週間で活動の増加を観察しました.
実際には, CVE-2017-11882は、最も悪用されている脆弱性の1つです, そしてそれは、レコーテッド・フューチャーの専用リストにも載りました 10 で最も悪用された脆弱性 2018.
現在のキャンペーンには、VBScriptなどの複数のスクリプトを実行するRTFファイルのダウンロードが含まれます, パワーシェル, PHP. 次に、スクリプトはトロイの木馬として識別されたペイロードをダウンロードします:MSIL/Cretasker。. 攻撃はここで終わらない, バックドアペイロードが現在ダウンしている悪意のあるドメインに接続しようとするとき, マイクロソフトはで説明しました 一連のツイート.