トレンドマイクロ、脆弱性CVE-2015-5119の標的型攻撃への悪用を確認
イタリア企業のHacking Teamから流出した際に確認されたエクスプロイトコードがさまざまなエクスプロイトキットに取り込まれていることが確認され、さらにこの脆弱性に含まれるCVE-2015-5119が水飲み場型攻撃に悪用されているのをトレンドマイクロが確認した。
同社によると、同社はCVE-2015-5119の脆弱性を利用した攻撃コードが使用された2つの日本国内の改ざんされた正規サイトを確認した。確認された不正プログラムのEMDIVIは日本を狙う標的型攻撃の遠隔操作ツール(RAT)で、特徴として遠隔操作用のサーバとして日本国内の改ざんされた正規サイトが使用されている。
CVE-2015-5119はオブジェクト関数「valueOf」に含まれる「Use After Free(解放後使用)」の脆弱性で、今回の攻撃では ActionScript を通じて VirtualProtect のエントリポイントを特定したうえでこれ使用して、実行可能なメモリ領域を設定することで、そこにシェルコードを書き込んで実行していた。
EMDIVI は2014年に登場し、主に日本を標的としたRATで、C2サーバから指令を受信すると、ファイルの検索や削除、ダウンロード・アップロード・実行、実行中のプロセス一覧の取得、Internet Explorer(IE)の認証パスワードとオートコンプリートの窃取、プロキシ設定の窃取などが実行可能となる。IEの認証パスワードとオートコンプリートの窃取は後から追加されているものであり、機能追加の亜種が確認されてたことから、EMDIVIが開発途上であることを意味しており、今後さらに機能が追加される恐れもあり注意が必要であるとしている。
