Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導?

ファイルがダウンロードされ、専用のバックドアであるSHOTPUTが被害者のシステムに送り込まれる。ペイロードはXORエンコードを用いて難読化されており、有効なGIFファイルに付与される。

APT3が今回の攻撃で使用したフィッシングメールは巧妙に作られており、一見しただけでスパムメールと判断が付かないという。

今回の攻撃で悪用されているのは、Adobe Flash PlayerがFLVファイルを解析する際のゼロデイ脆弱性。脆弱性を悪用した攻撃は、一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回し、リターン指向プログラミング(ROP)を用いてデータ実行防止(DEP)機能を迂回するというもの。ROP手法の巧妙なトリックにより、脆弱性の攻撃は容易になっており、一定のROP検知手法も回避できるという。

シェルコードは、復号時に使用する鍵と一緒にパックされたAdobe Flash Playerのエクスプロイト内に保存されており、ペイロードはXORで暗号化され、画像内に隠されているという。Adobe Flash Playerのエクスプロイトは、シンプルなRC4パッカーでパックされている。