Sednitハッカーグループは、サイバー攻撃に0dayエクスプロイトを使用します

ハッカーグループSednit(別名Sofacy、APT28、Fancy Bear)について繰り返し書いてきました。 私たちの調査では、 昨年、このグループはカスタマイズされた(独自の)エクスプロイトを使用してユーザーを侵害することに頼っていることを指摘しました。 このため、水飲み場(ドライブバイダウンロード)などの攻撃が組織され、MS Internet Explorerブラウザーのさまざまな1日のエクスプロイトが関与しました。 また、昨年、このグループは、セキュリティのためにインターネットへのアクセスを制限するさまざまな企業の隔離されたエアギャップネットワークへの攻撃に特化したことも指摘しました。







数日前、FireEyeはこのグループの活動に関する新しい情報を公開しました。 これらは、セドニットが米国の外交機関に対するサイバー攻撃を標的にするために使用した2つの0dayエクスプロイトです。



最初のエクスプロイトは、先週終了したFlash Player CVE-2015-3043( APSB15-06 )のRCE脆弱性に基づいています。 2番目の0dayエクスプロイト(LPE)は、サンドボックスブラウザーのメカニズムをバイパスし、最大のSYSTEM特権を取得し、システムにマルウェアをインストールするために使用されます。 この手法(多数のエクスプロイトを使用)は、このようなサイバー攻撃ではすでに「古典的」になっており、2014年のレポートで言及しました。



FireEyeアナリストがWindowsのLPE脆弱性(CVE-2015-1701)について公開した情報から判断すると、SMEPはWindows 8以降でこのエクスプロイトのアクションをブロックできるため、これらのOSバージョンには影響しません。 マイクロソフトはこの脆弱性に対するセキュリティアドバイザリ(SA)をまだリリースしていないため、現時点では、この脆弱性の詳細について推測することしかできません。 FireEyeは、この0dayエクスプロイトが一連のこれらの新しい標的型攻撃でのみ見られ、上記のFlash Playerの脆弱性とのみ関連していることを明確にしています。 これは、攻撃自体が高度に標的化され高度に標的化された攻撃 )、攻撃者が高度なスキルを持っていることを示しています。



以前、SMEPアクティビティが原因でWindows 8 x64で正常に動作できない2つのLPEエクスプロイトの説明を公開しました。PowerLoader64 ビットは新しいLPEエクスプロイト更新されDianti.Aエクスプロイト分析です。



All Articles