{
	"id": "4071da5a-f9d9-474f-9041-09b1d75e6af7",
	"created_at": "2026-04-10T03:21:22.148986Z",
	"updated_at": "2026-04-10T13:12:58.455028Z",
	"deleted_at": null,
	"sha1_hash": "e0f67fbc36c8f8c0f93ad2398479c6b8b9fd6600",
	"title": "日本を標的としたPseudoGateキャンペーンによるSpelevo Exploit Kitを用いた攻撃について",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1527348,
	"plain_text": "日本を標的としたPseudoGateキャンペーンによるSpelevo\r\nExploit Kitを用いた攻撃について\r\nBy NTTセキュリティ・ジャパン株式会社\r\nPublished: 2021-03-10 · Archived: 2026-04-10 02:20:36 UTC\r\nBy Hiroki Hada\r\nPublished March 10, 2021 | Japanese\r\n本日の記事は、SOC アナリスト 小池 倫太郎の記事です。\r\n---\r\nWebサイトを閲覧しただけでマルウェアに感染してしまうDrive-by Download攻撃は、2017年頃から急速\r\nに下火となっており、現在ではほとんど話題になることはありません。日本においても減少傾向にあ\r\nりましたが、Bottle Exploit Kitと呼ばれる日本のユーザのみを標的としたExploit Kit[1][2]が登場するな\r\nど、やや特殊な状況にあります。\r\n日本を標的としたDrive-by Download攻撃キャンペーンはいくつか存在しており、ここ数年の間で最も\r\n活発であると考えられているものはPseudoGateと呼ばれる攻撃キャンペーンです。PseudoGateキャンペ\r\nーンは2018年に存在が報告された[3]攻撃キャンペーンで、日本語のWebサイトを用いてバンキングト\r\nロジャンを送り込みます。\r\nPseudoGateキャンペーンはこれまでにいくつかのExploit Kitを使用してきました。登場初期はRIG\r\nExploit Kit[4]やGrandSoft Exploit Kit[5]を使用していましたが、その後Fallout Exploit Kit[6]に移行し、数\r\n年間攻撃を行っていました。しかし、2020年12月頃からFallout Exploit KitではなくSpelevo Exploit Kitを\r\n使用し始め、それは2021年2月でも継続しています。\r\nSpelevo Exploit Kitは2019年3月に存在が報告された[7]Exploit Kitです。その後、HookAdsキャンペーン\r\n[8]やMakeMoney（あるいはMalcdnとも呼ばれる）キャンペーン[9]などで用いられ、ShadeやMazeのよ\r\nうなランサムウェアやDridexやIcedIDのようなバンキングトロジャンを実行するために使用されてきま\r\nした[10][11][12]。\r\n日本においては、2019年3月にHookAdsキャンペーンで使用されたことを皮切りに、主に2019年に\r\nSpelevo Exploit Kitを使用した攻撃が観測されていました。その後、2020年は海外での観測報告は数件\r\nありますが、日本国内含め、他のExploit Kitに比べて極めて目立たない存在となっていました。\r\nそのため、Spelevo Exploit Kitについて、これまで詳細な解析レポートが公開されたことはほとんどあ\r\nりません。これまでに公開されてきたいくつかのレポートはトラフィック構造の簡単な紹介のみがほ\r\nとんどで、シェルコードの具体的な挙動などは1度も示されたことがありません。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 1 of 8\n\nそこで今回は、Spelevo Exploit Kitに移行したPseudoGateキャンペーンについて、具体的なコードを見な\r\nがら、実際にこれらがどのように攻撃が行われているのか、詳細に紹介します。\r\n攻撃の流れ\r\n今回は2021年2月末に観測されたPseudoGateキャンペーンのトラフィックについて扱います。重要なト\r\nラフィックを抜粋した結果、攻撃は以下のような9つのトラフィックから構成されていました。\r\nPseudoGateは広告ネットワークから誘導される、いわゆるMalvertisingキャンペーンです。ユーザが一般\r\nのWebサイトを閲覧した際に読み込まれたWeb広告からリダイレクトを繰り返し、最終的にPseudoGate\r\nのランディングページを読み込むことによって攻撃が行われます。\r\nランディングページは日本語で、実在する料理店などの情報を記載したものです。一見すると、この\r\nWebサイトがPseudoGateキャンペーンによるものであるとは思えません。\r\nランディングページの中には以下のようなコードが存在しており、これによってtom.phpを読み込みま\r\nす。\r\ntom.phpは以下のようなレスポンスを返します。これによって、さらにtom.phpに対してPOSTリクエス\r\nトが送信されます。そのレスポンスをPOSTリクエストで呼び出します。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 2 of 8\n\nこのときtom.phpは以下のようなデータを返します。\r\nこれはKeitaro TDSというTDS（Traffic Distribution System）で、リダイレクタとして動作します。その\r\n結果、Spelevo Exploit Kitのランディングページにリダイレクトが行われます。\r\nSpelevo Exploit Kit\r\nSpelevo Exploit Kitは2つの脆弱性（CVE-2018-8174とCVE-2018-15982）を悪用することが報告されてい\r\nますが、PseudoGateによる攻撃ではCVE-2018-15982のみが観測されています。\r\nCVE-2018-15982はAdobe Flash PlayerのRCEの脆弱性です。Adobe Flash Playerは2020年12月31日でサポー\r\nトを終了していますが、現在でも古いバージョンを使用するユーザが一定数存在することから、CVE-2018-15982が悪用されているのだと推測されます。\r\nSpelevo Exploit KitがCVE-2018-8174を悪用する設定だった場合でも、SWF LoaderとSWF Exploitの代わ\r\nりにCVE-2018-8174を悪用するExploitコードが読み込まれるだけで、それ以外の挙動は同じです。\r\nまずユーザがランディングページにアクセスすると、Adobe Flash Playerの情報を取得するコードが読み\r\n込まれます。それによって、ユーザのブラウザがAdobe Flash Playerをインストールしているか、インス\r\nトールしている場合はバージョン情報が取得されます。\r\nインストールされているAdobe Flash Playerのバージョンが21以上31.0.0.153以下であるかチェックを行\r\nいます。これはCVE-2018-15982を悪用することができるか[13]確認するためです。チェックを通過した\r\n場合、iframeを用いてSWFのローダが読み込まれます。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 3 of 8\n\nSWFのローダはシンプルなHTMLで構成されています。後に使用されるFlashVarsパラメータの値にセッ\r\nトされたlinkという変数の値をチェックしておきましょう。これはマルウェアを取得する際に使用され\r\nます。こうしてSWFファイルが実行されます。\r\nSWFはパックされています。リソースとして保存された画像ファイルのRGBデータを使ってデータを\r\n取得し、それを動的に実行していきます。具体的には、まず2800x2800のサイズの画像ファイルを読み\r\n込み、左上から順にRGBAデータを読み込みます。\r\n読み込んだデータの先頭から36番目までのデータを削除し、以降のデータからアルファチャンネルの\r\n部分を削除します。\r\nその後、得られたデータに対してXOR 0x22することで、データを復号します。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 4 of 8\n\nさらに、loaderInfo.parametersを使用して、SWFが読み込まれる際に指定されたlinkパラメータの値を取\r\n得します。そのデータを復号後のデータの0xcceに埋め込みます。最後に、得られたデータを動的に読\r\nみ込んで実行します。\r\nこうして実行されたデータはCVE-2018-15982を悪用するためのSWFファイルです。GitHubなどで公開\r\nされている典型的なPoCと極めて類似した構造で、それらをコピーペーストして作成されたと考えられ\r\nます。\r\nCVE-2018-15982の技術的な詳細はここでは省略しますが、Exploitに成功すると、最終的にシェルコー\r\nドを実行します。シェルコードはSWF内にバイナリオブジェクトとして埋め込まれており、先程linkパ\r\nラメータの値を書き込んだエリアに存在します。つまり、シェルコード内にlinkパラメータを埋め込ん\r\nだということです。\r\nシェルコードはまずror9AddHash32でAPIを解決した後、先程埋め込まれたlinkパラメータのURLに対し\r\nてリクエストを送信します。そのレスポンスデータは一見するとノイズだらけの画像ファイルのよう\r\nに見えますが、実際にはマルウェアがエンコードされて埋め込まれています。\r\nシェルコードはレスポンスデータの0x1100からデータを読み始めます。0x1104を鍵として、0x1106以降\r\nのデータをXORすることで、マルウェアが得られます。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 5 of 8\n\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 6 of 8\n\nその後、復号したマルウェアを%TEMP%\\Low以下に保存し、wmicコマンドを使用して実行します。\r\n最後に、マルウェアの実行に成功したことを通知するためか、再度リクエストを飛ばしてSpelevo\r\nExploit Kitによる攻撃は終了します。\r\nマルウェア\r\nPseudoGateキャンペーンによって実行されるマルウェアは様々ありますが、最終的にはバンキングトロ\r\nジャンが実行されます。過去にはRamnitやKronos、Zloaderなどが使用されましたが、昨今ではUrsnifが\r\n多用されています。また、最近ではUrsnifを単体で使用することはなく、その前段階として\r\nSmokeLoaderが好んで使われています。\r\n日本を標的としたDrive-by Download攻撃は、Bottle Exploit Kitなど他にもありますが、それらの多くが\r\nバンキングトロジャンを使用して銀行等の情報を窃取することが目的です。同一のアクターによるも\r\nのの可能性も考えられますが、日本はそうしたバンキングトロジャンを用いた攻撃に狙われる傾向が\r\nあると言えます。\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 7 of 8\n\nさいごに\r\n今回はSpelevo Exploit Kitを用いたPseudoGateキャンペーンによるDrive-by Download攻撃について、実際\r\nのコードを解析しながら攻撃の流れを詳細に紹介しました。Drive-by Download攻撃自体は下火になっ\r\nていますが、現在でも根強く攻撃を行っているアクターがいます。それらのうち、日本を標的とした\r\n攻撃キャンペーンは、日本語のWebサイトを用いたり、日本に特化した特徴を持つなど、より注意が必\r\n要となります。こうした攻撃は今後も継続していくと考えられるため、引き続き警戒が必要でしょ\r\nう。\r\nまた、今回Spelevo Exploit KitはAdobe Flash Playerの脆弱性を悪用しました。Adobe Flash Playerは既にサ\r\nポートが終了しており、アンインストールすることが推奨[14]されています。さらに、Spelevo Exploit\r\nKitは他にもCVE-2018-8174を使用することがありますが、これはパッチが適用されていないInternet\r\nExplorerを使用していることで攻撃に晒されます。こうしたことから、既にサポートが終了している\r\nAdobe Flash Playerや、最新のパッチが適用されていないInternet Explorerの使用を中止することが強く推\r\n奨されます。\r\nIOC\r\nSpelevo Exploit Kit\r\n37[.]18.90.119\r\n37[.]18.90.44\r\n参考文献\r\n[1] nao_sec, Say hello to Bottle Exploit Kit targeting Japan\r\n[2] NTTセキュリティ・ジャパン, When you gaze into the Bottle,...\r\n[3] アクティブディフェンス研究所, 日本を標的とした新たなDrive-by Download攻撃キャンペーン\r\nPseudoGate\r\n[4] NTTセキュリティ・ジャパン, RIGエクスプロイトキット解析レポート\r\n[5] nao_sec, Analyzing GrandSoft Exploit Kit\r\n[6] nao_sec, Hello \"Fallout Exploit Kit\"\r\n[7] Twitter, @kafeine\r\n[8] Malwarebytes, The HookAds malvertising campaign\r\n[9] Twitter, @adrian__luca\r\n[10] Malware-Traffic-Analysis, 2019-03-16 - Spelevo EK examples\r\n[11] Cisco Talos, Welcome Spelevo: New exploit kit full of old tricks\r\n[12] Cybereason, Exploit Kits “Shade” Into New Territory\r\n[13] IPA, Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等)\r\n[14] Adobe, Adobe Flash Playerサポート終了\r\nSource: https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nhttps://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit"
	],
	"report_names": [
		"pseudogatespelevo-exploit-kit"
	],
	"threat_actors": [],
	"ts_created_at": 1775791282,
	"ts_updated_at": 1775826778,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e0f67fbc36c8f8c0f93ad2398479c6b8b9fd6600.pdf",
		"text": "https://archive.orkl.eu/e0f67fbc36c8f8c0f93ad2398479c6b8b9fd6600.txt",
		"img": "https://archive.orkl.eu/e0f67fbc36c8f8c0f93ad2398479c6b8b9fd6600.jpg"
	}
}