インターネットエクスプローラーの脆弱性をついた攻撃、なのですが、Wordドキュメントの中でRTFファイルを呼び、そのRTFファイルがHTMLファイルを外部から取得するときに、実は内部的にインターネットエクスプローラーのJavascriptのエンジンが利用されており、その脆弱性が利用された、というものになります。
このJavascriptエンジンの脆弱性を利用して、実はリモートからコード実行が可能だった、というレポートが出ています。
インターネットエクスプローラーを使っていると気が付いていなくても実は使っている、というのがちょっとびっくりするところで、それを利用しようという攻撃者の工夫がここまで凝らされているというのがわかるレポートでした。
攻撃者のインフラ
利用されていたドメインのレジストラをみてみると、namecheap.comとgodaddyとnetearthone.comに散らしていました。FQDNが引けなかったのでインフラのIPアドレスがどのIPアドレスレンジ(ASN番号)に落ちるのかまでは追えませんでした。
引用元
Internet Explorer 0-day exploited by North Korean actor APT37 (blog.google)
コメント