>> サイバーニュース > Fallout EK Spreads GandCrab, CVE-2018-4878を活用, CVE-2018-8174
サイバーニュース

フォールアウトEKスプレッドGandCrab, CVE-2018-4878を活用, CVE-2018-8174

MIcrosoftOfficeCVE-2017-0199エクスプロイト

悪名高いGandCrabランサムウェアが現在、Falloutと呼ばれる新しいエクスプロイトキットによって配布されていることを示す新しいセキュリティレポートが届きました。. Fallout EKは、ダウンローダー型トロイの木馬や望ましくない可能性のあるプログラムと一緒にランサムウェアをプッシュしています. EKは、8月末にセキュリティ研究者nao_secによって発掘されました 2018.




フォールアウトエクスプロイトキットの悪意のある操作

Fallout EKは侵害されたWebサイトにインストールされており、潜在的な被害者のシステムに存在する脆弱性を悪用しようとしているようです。. ここのところ, EKは2つの既知のエクスプロイトを活用しています – AdobeFlashPlayer用に1つ (CVE-2018-4878) 1つはWindowsVBScriptエンジン用です (CVE-2018-8174).

CVE-2018-4878技術的な詳細

MITREの アドバイザリー, 脆弱性は “解放後使用の脆弱性” バージョンの前にAdobeFlashPlayerで発見されました 28.0.0.161. この脆弱性は、リスナーオブジェクトのメディアプレーヤー処理に関連するPrimetimeSDKのダングリングポインターが原因で発生します. 攻撃が成功すると、任意のコードが実行される可能性があります. CVE-2018-4878は、1月と2月に野生で悪用されました 2018.

CVE-2018-8174技術的な詳細

The 脆弱性 リモートコード実行の種類です, VBScriptエンジンがメモリ内のオブジェクトを処理する方法で存在する, そのような “WindowsVBScriptエンジンのリモートコード実行の脆弱性。” この欠陥はWindowsに影響します 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, ウィンドウズ 8.1, Windows Server 2016, Windows Server 2008 R2, ウィンドウズ 10, ウィンドウズ 10 サーバー.

その発見時に, EKが捕まった いわゆるSmokeLoaderのダウンロードとインストール, 侵入先のホストにさらにマルウェアをダウンロードすることで知られるマルウェアインスタンス. その特定の瞬間に、CoalaBotは他の非公開のマルウェアと一緒にダウンロードされていました.

研究者によると, シェルコードによって実行されるexeファイルは “Nullsoftインストーラー自己解凍アーカイブ””, 次に、SmokeLoaderを実行し、2つの追加のexeファイルをダウンロードします。.

FireEyeの研究者は、以前は、WindowsシステムとmacOSシステムの両方にGandCrabランサムウェアをインストールするために、まったく同じエクスプロイトキットがサイバー犯罪者によって配備されていることを確認できました。. EKは、被害者を偽のアンチウイルスプログラムや偽のAdobeFlashプレーヤーを宣伝するページにリダイレクトすることでも知られています。.

研究者は、FalloutEKがCVE-2018-8174VBScriptの脆弱性を悪用できない場合に注意する必要があります, ターゲットホストでスクリプトが無効になっている場合, その後、 AdobeFlashPlayerの脆弱性を悪用してみてください, CVE-2018-4878.

エクスプロイトが成功すると, 特にWindowsOSは、トロイの木馬をダウンロードしてインストールし、次のプロセスをチェックします。:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

それらのプロセスが見つかった場合, トロイの木馬は、さらに悪意のあるアクティビティを実行せずに無限ループに入ります, 研究者は指摘した.

それらのプロセスが見つからない場合, トロイの木馬は、をインストールするDLLをダウンロードして実行します。 GandCrabランサムウェア, これは通常の感染方法で進行します.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します