>> サイバーニュース > Fallout EK Spreads GandCrab, CVE-2018-4878を活用, CVE-2018-8174
サイバーニュース

フォールアウトEKスプレッドGandCrab, CVE-2018-4878を活用, CVE-2018-8174

  |  Last Update:  |  0 コメントコメント  

MIcrosoftOfficeCVE-2017-0199エクスプロイト

悪名高いGandCrabランサムウェアが現在、Falloutと呼ばれる新しいエクスプロイトキットによって配布されていることを示す新しいセキュリティレポートが届きました。. Fallout EKは、ダウンローダー型トロイの木馬や望ましくない可能性のあるプログラムと一緒にランサムウェアをプッシュしています. EKは、8月末にセキュリティ研究者nao_secによって発掘されました 2018.




フォールアウトエクスプロイトキットの悪意のある操作

Fallout EKは侵害されたWebサイトにインストールされており、潜在的な被害者のシステムに存在する脆弱性を悪用しようとしているようです。. ここのところ, EKは2つの既知のエクスプロイトを活用しています – AdobeFlashPlayer用に1つ (CVE-2018-4878) 1つはWindowsVBScriptエンジン用です (CVE-2018-8174).

CVE-2018-4878技術的な詳細

MITREの アドバイザリー, 脆弱性は “解放後使用の脆弱性” バージョンの前にAdobeFlashPlayerで発見されました 28.0.0.161. この脆弱性は、リスナーオブジェクトのメディアプレーヤー処理に関連するPrimetimeSDKのダングリングポインターが原因で発生します. 攻撃が成功すると、任意のコードが実行される可能性があります. CVE-2018-4878は、1月と2月に野生で悪用されました 2018.

CVE-2018-8174技術的な詳細

The 脆弱性 リモートコード実行の種類です, VBScriptエンジンがメモリ内のオブジェクトを処理する方法で存在する, そのような “WindowsVBScriptエンジンのリモートコード実行の脆弱性。” この欠陥はWindowsに影響します 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, ウィンドウズ 8.1, Windows Server 2016, Windows Server 2008 R2, ウィンドウズ 10, ウィンドウズ 10 サーバー.

その発見時に, EKが捕まった いわゆるSmokeLoaderのダウンロードとインストール, 侵入先のホストにさらにマルウェアをダウンロードすることで知られるマルウェアインスタンス. その特定の瞬間に、CoalaBotは他の非公開のマルウェアと一緒にダウンロードされていました.

研究者によると, シェルコードによって実行されるexeファイルは “Nullsoftインストーラー自己解凍アーカイブ””, 次に、SmokeLoaderを実行し、2つの追加のexeファイルをダウンロードします。.

FireEyeの研究者は、以前は、WindowsシステムとmacOSシステムの両方にGandCrabランサムウェアをインストールするために、まったく同じエクスプロイトキットがサイバー犯罪者によって配備されていることを確認できました。. EKは、被害者を偽のアンチウイルスプログラムや偽のAdobeFlashプレーヤーを宣伝するページにリダイレクトすることでも知られています。.

研究者は、FalloutEKがCVE-2018-8174VBScriptの脆弱性を悪用できない場合に注意する必要があります, ターゲットホストでスクリプトが無効になっている場合, その後、 AdobeFlashPlayerの脆弱性を悪用してみてください, CVE-2018-4878.

エクスプロイトが成功すると, 特にWindowsOSは、トロイの木馬をダウンロードしてインストールし、次のプロセスをチェックします。:

vmwareuser.exe
vmwareservice.exe
vboxservice.exe
vboxtray.exe
Sandboxiedcomlaunch.exe
procmon.exe
regmon.exe
filemon.exe
wireshark.exe
netmon.exe
vmtoolsd.exe

それらのプロセスが見つかった場合, トロイの木馬は、さらに悪意のあるアクティビティを実行せずに無限ループに入ります, 研究者は指摘した.

それらのプロセスが見つからない場合, トロイの木馬は、をインストールするDLLをダウンロードして実行します。 GandCrabランサムウェア, これは通常の感染方法で進行します.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

関連記事:
  1. Adobeパッチ 112 最新のパッチパッケージの脆弱性 (CVE-2018-5007) アドビは、問題に対処する最新のパッチ パッケージをリリースしました。.
  2. CVE-2018-4878FlashPlayerの欠陥: あなたが知る必要があること Adobe Flash Playerは、長い間ハッカーの標的にされてきました. 多くの...
  3. CVE-2018-0896最新のGandCrabバージョンで使用 (GANDCRAB v5.0.1) Judging by the speed at which new iterations are introduced...
  4. CVE-2018-8174リグエクスプロイトキットで使用される脆弱性 Security researchers have been following the activity surrounding the infamous...
  5. CVE-2018-4878: 北朝鮮のScarCruftハッカーがBluetoothハーベスティングを実行 The North Korean hacker collective known as ScarCruft has been...
  6. 大規模な攻撃で使用されるKrakenランサムウェアとFalloutエクスプロイトキット The Kraken ransomware is one of the latest virus threats...
  7. CiscoバグCVE-2018-0151, CVE-2018-171, CVE-2018-015. 今すぐパッチを適用! シスコ製品に3つの重大な脆弱性が見つかりました. すなわち,...
  8. 最近パッチが適用されたCVE-2018-8373アクティブエクスプロイトで使用 CVE-2018-8373 is a severe remote code execution vulnerability which was...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します