ウイルス対策およびセキュリティ企業のトレンドマイクロは、「Pawn Storm」(別名「Fancy Bear」、「Sofacy」、「APT28」、「Strontium」)と呼ばれるスパイ集団が、FlashおよびWindowsカーネルの2つのゼロデイ脆弱性に対する攻撃を強化していることを発見したと発表した。
Windowsカーネルとフラッシュのゼロデイ
Googleは最近、Adobeがビデオプレーヤープラグインの緊急アップデートをリリースした後、この2つの脆弱性が「積極的に悪用されている」と発表しましたが、これはMicrosoftが自社の脆弱性を修正する前に行われました。Microsoftは昨日、Windowsマシンへのパッチ配信を開始しました。ただし、ユーザーがアップデートを延期または無効化に設定している場合、パッチがすべてのユーザーに適用されるまでには時間がかかります。
一方、スパイグループは、この最後の好機を逃さず、ゼロデイ脆弱性が無効化される前に可能な限り多くのスパイ活動の目的を達成しようとしているようだ。トレンドマイクロによると、Pawn Stormの標的は大使館やその他の政府機関であり、国家の支援を受けている可能性が示唆されている。
ポーンストームがどのように標的を感染させたか
攻撃者は、メールを使ったスピアフィッシング攻撃を用いて、標的にマルウェアに感染した文書をダウンロードさせようとしました。この文書には、11月に開催される実際のサイバーセキュリティカンファレンスへの招待状が含まれています。このリッチテキスト形式(RTF)の文書には、リモートサーバーから追加ファイルをダウンロードするFlashファイルが埋め込まれています。
ダウンロードされたFlashファイルには、最近パッチが適用されたFlashのゼロデイ脆弱性(CVE-2016-7855)を悪用しようとするエクスプロイトが含まれていました。トレンドマイクロによると、同社のMicrosoft Wordプログラムをクラッシュさせる可能性のある2つ目のファイルもダウンロードされました。
セキュリティ企業はまた、Googleのエンジニアがゼロデイ脆弱性を発見してからAdobeとMicrosoftがパッチを当てるまでの間に、Pawn Stormグループが複数のキャンペーンを展開していたことにも気付いた。これは、同グループがほとんどのデバイスとFlashプレーヤーにパッチが当てられる前に攻撃を強化しようとしていたことを示唆している。
このグループの被害者にならないように、トレンドマイクロはユーザーに対し、できるだけ早く Windows OS と Flash を更新することを強く推奨した。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
