>> サイバーニュース > Magnitude EK Is Now Using CVE-2019-1367 to Drop Ransomware
サイバーニュース

MagnitudeEKは現在CVE-2019-1367を使用してランサムウェアをドロップしています

エクスプロイトキットは、過去数年間に多くのランサムウェアキャンペーンに導入されてきました. 一部のエクスプロイトキットは寿命が短い, その他, マグニチュードEKのように, 進化し続け、改善されます.

実際には, Magnitude EKは、最も長い歴史を持つものの1つです。, 以来、地下フォーラムで提供されています 2013. エクスプロイトキット専用の最新のカスペルスキー分析によると, Magnitudeは、特にアジア太平洋諸国のユーザーにランサムウェアを配布することに焦点を移しました, の方法を介して マルバタイジング.




マグニチュードエクスプロイトキットの進化

研究者によると, エクスプロイトキットは積極的にサポートされており、絶えず改善されています. EKで見られる最も注目すべき変更の1つは、, InternetExplorerのCVE-2019-1367. この特定の脆弱性は、もともと野生で悪用されたゼロデイとして発見されました. さらに, Magnitureのオペレーターは現在、多作のエクスプロイトライターによって開発されたと思われるCVE-2018-8641に対して、これまで知られていなかった特権の昇格エクスプロイトを使用しています。, カスペルスキーは言う.

MagnitudeEKが使用している脆弱性?
利用可能なほとんどのエクスプロイトキットのように, の 2019 MagnitudeEKは主にCVE-2018-8174を利用しました. でも, そのオペレーターは、はるかに新しいものを最初に採用しました CVE-2019-1367の脆弱性, そして彼らは2月からそれを彼らの主要なエクスプロイトとして使用しています 11, 2020, カスペルスキーノート. 攻撃者は元のゼロデイエクスプロイトを再利用し、独自のシェルコードと難読化で変更しました.

CVE-2019-1367とは?

CVE-2019-1367は、ガベージコレクターがレガシーJavaScriptエンジンjscript.dllに根ざしていない値を追跡しないため、解放後使用の脆弱性です。. デフォルトでは, インターネットエクスプローラ 11 Jscript9.dllを使用します, ただし、Internet Explorerとの互換モードを有効にすることで、レガシーエンジンを使用してスクリプトを実行することは可能です。 7/8.

このバグにより、攻撃者はシステムを介してアクセスする目的でリモート攻撃を実行できる可能性があります. 脆弱性は、スクリプトエンジンのメモリ破損の問題です, これは、Googleの脅威分析グループのClémentLecigneによって発見されました.

CVE-2019-1367エクスプロイトに基づく攻撃が電子メールで開始される可能性があります (マルスパム) または、ユーザーをだまして悪意を持って作成されたWebサイトにアクセスさせます. 対象となるブラウザはInternetExplorerであることに注意してください。, 大規模なユーザーベースで引き続き使用されています.

MagnitudeEKが独自のランサムウェアペイロードをドロップ
Magnitudeに関するもう1つの興味深い事実は、そのオペレーターが攻撃に独自のランサムウェアペイロードを使用していることです。. このランサムウェアには、攻撃者が頻繁に変更する一時的な暗号化キーとドメイン名のリストが付属しています. 被害者のファイルは、Microsoft CryptoAPI、およびMicrosoftEnhancedRSAとAESCryptographicProviderを使用して暗号化されます (PROV_RSA_AES).

初期化ベクトル (IV) ファイルごとに疑似ランダムに生成され、暗号化されたIVを含む0x100バイトの長さのblobがファイルの最後に追加されます. ランサムウェアは、ドキュメントや設定などの一般的なフォルダにあるファイルを暗号化しません, アプリデータ, ローカル設定, サンプル音楽, ブラウザ, 等. 暗号化前, ファイルの拡張子は、以下を含む許可されたファイル拡張子のハッシュテーブルと照合されます。 715 エントリ.

もちろん, 身代金メモも暗号化されたファイルとともに各フォルダーにドロップされ、最後にnotepad.exeプロセスが作成されて身代金メモが表示されます。. 実行されたプロセスの起源を隠すため, このランサムウェアは、「wmic processcallcreate」手法または「pcalua.exe–a…-c…」のいずれかを展開します。. 暗号化後、ランサムウェアは、UACバイパスで実行される「wmicshadowcopydelete」コマンドを使用してファイルのバックアップも削除しようとします。, カスペルスキーが発見.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します