数日前、FireEyeはこのグループの活動に関する新しい情報を公開しました。 これらは、セドニットが米国の外交機関に対するサイバー攻撃を標的にするために使用した2つの0dayエクスプロイトです。
最初のエクスプロイトは、先週終了したFlash Player CVE-2015-3043( APSB15-06 )のRCE脆弱性に基づいています。 2番目の0dayエクスプロイト(LPE)は、サンドボックスブラウザーのメカニズムをバイパスし、最大のSYSTEM特権を取得し、システムにマルウェアをインストールするために使用されます。 この手法(多数のエクスプロイトを使用)は、このようなサイバー攻撃ではすでに「古典的」になっており、2014年のレポートで言及しました。
FireEyeアナリストがWindowsのLPE脆弱性(CVE-2015-1701)について公開した情報から判断すると、SMEPはWindows 8以降でこのエクスプロイトのアクションをブロックできるため、これらのOSバージョンには影響しません。 マイクロソフトはこの脆弱性に対するセキュリティアドバイザリ(SA)をまだリリースしていないため、現時点では、この脆弱性の詳細について推測することしかできません。 FireEyeは、この0dayエクスプロイトが一連のこれらの新しい標的型攻撃でのみ見られ、上記のFlash Playerの脆弱性とのみ関連していることを明確にしています。 これは、攻撃自体が高度に標的化され ( 高度に標的化された攻撃 )、攻撃者が高度なスキルを持っていることを示しています。
以前、SMEPアクティビティが原因でWindows 8 x64で正常に動作できない2つのLPEエクスプロイトの説明を公開しました。PowerLoader64 ビットは新しいLPEエクスプロイトで更新され 、 Dianti.Aエクスプロイト分析です。