日本を標的としたPseudoGateキャンペーンによるSpelevo
Exploit Kitを用いた攻撃について
By NTTセキュリティ・ジャパン株式会社
Published: 2021-03-10 · Archived: 2026-04-10 02:20:36 UTC
By Hiroki Hada
Published March 10, 2021 | Japanese
本日の記事は、SOC アナリスト 小池 倫太郎の記事です。
---
Webサイトを閲覧しただけでマルウェアに感染してしまうDrive-by Download攻撃は、2017年頃から急速
に下火となっており、現在ではほとんど話題になることはありません。日本においても減少傾向にあ
りましたが、Bottle Exploit Kitと呼ばれる日本のユーザのみを標的としたExploit Kit[1][2]が登場するな
ど、やや特殊な状況にあります。
日本を標的としたDrive-by Download攻撃キャンペーンはいくつか存在しており、ここ数年の間で最も
活発であると考えられているものはPseudoGateと呼ばれる攻撃キャンペーンです。PseudoGateキャンペ
ーンは2018年に存在が報告された[3]攻撃キャンペーンで、日本語のWebサイトを用いてバンキングト
ロジャンを送り込みます。
PseudoGateキャンペーンはこれまでにいくつかのExploit Kitを使用してきました。登場初期はRIG
Exploit Kit[4]やGrandSoft Exploit Kit[5]を使用していましたが、その後Fallout Exploit Kit[6]に移行し、数
年間攻撃を行っていました。しかし、2020年12月頃からFallout Exploit KitではなくSpelevo Exploit Kitを
使用し始め、それは2021年2月でも継続しています。
Spelevo Exploit Kitは2019年3月に存在が報告された[7]Exploit Kitです。その後、HookAdsキャンペーン
[8]やMakeMoney（あるいはMalcdnとも呼ばれる）キャンペーン[9]などで用いられ、ShadeやMazeのよ
うなランサムウェアやDridexやIcedIDのようなバンキングトロジャンを実行するために使用されてきま
した[10][11][12]。
日本においては、2019年3月にHookAdsキャンペーンで使用されたことを皮切りに、主に2019年に
Spelevo Exploit Kitを使用した攻撃が観測されていました。その後、2020年は海外での観測報告は数件
ありますが、日本国内含め、他のExploit Kitに比べて極めて目立たない存在となっていました。
そのため、Spelevo Exploit Kitについて、これまで詳細な解析レポートが公開されたことはほとんどあ
りません。これまでに公開されてきたいくつかのレポートはトラフィック構造の簡単な紹介のみがほ
とんどで、シェルコードの具体的な挙動などは1度も示されたことがありません。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 1 of 8

そこで今回は、Spelevo Exploit Kitに移行したPseudoGateキャンペーンについて、具体的なコードを見な
がら、実際にこれらがどのように攻撃が行われているのか、詳細に紹介します。
攻撃の流れ
今回は2021年2月末に観測されたPseudoGateキャンペーンのトラフィックについて扱います。重要なト
ラフィックを抜粋した結果、攻撃は以下のような9つのトラフィックから構成されていました。
PseudoGateは広告ネットワークから誘導される、いわゆるMalvertisingキャンペーンです。ユーザが一般
のWebサイトを閲覧した際に読み込まれたWeb広告からリダイレクトを繰り返し、最終的にPseudoGate
のランディングページを読み込むことによって攻撃が行われます。
ランディングページは日本語で、実在する料理店などの情報を記載したものです。一見すると、この
WebサイトがPseudoGateキャンペーンによるものであるとは思えません。
ランディングページの中には以下のようなコードが存在しており、これによってtom.phpを読み込みま
す。
tom.phpは以下のようなレスポンスを返します。これによって、さらにtom.phpに対してPOSTリクエス
トが送信されます。そのレスポンスをPOSTリクエストで呼び出します。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 2 of 8

このときtom.phpは以下のようなデータを返します。
これはKeitaro TDSというTDS（Traffic Distribution System）で、リダイレクタとして動作します。その
結果、Spelevo Exploit Kitのランディングページにリダイレクトが行われます。
Spelevo Exploit Kit
Spelevo Exploit Kitは2つの脆弱性（CVE-2018-8174とCVE-2018-15982）を悪用することが報告されてい
ますが、PseudoGateによる攻撃ではCVE-2018-15982のみが観測されています。
CVE-2018-15982はAdobe Flash PlayerのRCEの脆弱性です。Adobe Flash Playerは2020年12月31日でサポー
トを終了していますが、現在でも古いバージョンを使用するユーザが一定数存在することから、CVE-2018-15982が悪用されているのだと推測されます。
Spelevo Exploit KitがCVE-2018-8174を悪用する設定だった場合でも、SWF LoaderとSWF Exploitの代わ
りにCVE-2018-8174を悪用するExploitコードが読み込まれるだけで、それ以外の挙動は同じです。
まずユーザがランディングページにアクセスすると、Adobe Flash Playerの情報を取得するコードが読み
込まれます。それによって、ユーザのブラウザがAdobe Flash Playerをインストールしているか、インス
トールしている場合はバージョン情報が取得されます。
インストールされているAdobe Flash Playerのバージョンが21以上31.0.0.153以下であるかチェックを行
います。これはCVE-2018-15982を悪用することができるか[13]確認するためです。チェックを通過した
場合、iframeを用いてSWFのローダが読み込まれます。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 3 of 8

SWFのローダはシンプルなHTMLで構成されています。後に使用されるFlashVarsパラメータの値にセッ
トされたlinkという変数の値をチェックしておきましょう。これはマルウェアを取得する際に使用され
ます。こうしてSWFファイルが実行されます。
SWFはパックされています。リソースとして保存された画像ファイルのRGBデータを使ってデータを
取得し、それを動的に実行していきます。具体的には、まず2800x2800のサイズの画像ファイルを読み
込み、左上から順にRGBAデータを読み込みます。
読み込んだデータの先頭から36番目までのデータを削除し、以降のデータからアルファチャンネルの
部分を削除します。
その後、得られたデータに対してXOR 0x22することで、データを復号します。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 4 of 8

さらに、loaderInfo.parametersを使用して、SWFが読み込まれる際に指定されたlinkパラメータの値を取
得します。そのデータを復号後のデータの0xcceに埋め込みます。最後に、得られたデータを動的に読
み込んで実行します。
こうして実行されたデータはCVE-2018-15982を悪用するためのSWFファイルです。GitHubなどで公開
されている典型的なPoCと極めて類似した構造で、それらをコピーペーストして作成されたと考えられ
ます。
CVE-2018-15982の技術的な詳細はここでは省略しますが、Exploitに成功すると、最終的にシェルコー
ドを実行します。シェルコードはSWF内にバイナリオブジェクトとして埋め込まれており、先程linkパ
ラメータの値を書き込んだエリアに存在します。つまり、シェルコード内にlinkパラメータを埋め込ん
だということです。
シェルコードはまずror9AddHash32でAPIを解決した後、先程埋め込まれたlinkパラメータのURLに対し
てリクエストを送信します。そのレスポンスデータは一見するとノイズだらけの画像ファイルのよう
に見えますが、実際にはマルウェアがエンコードされて埋め込まれています。
シェルコードはレスポンスデータの0x1100からデータを読み始めます。0x1104を鍵として、0x1106以降
のデータをXORすることで、マルウェアが得られます。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 5 of 8

https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 6 of 8

その後、復号したマルウェアを%TEMP%\Low以下に保存し、wmicコマンドを使用して実行します。
最後に、マルウェアの実行に成功したことを通知するためか、再度リクエストを飛ばしてSpelevo
Exploit Kitによる攻撃は終了します。
マルウェア
PseudoGateキャンペーンによって実行されるマルウェアは様々ありますが、最終的にはバンキングトロ
ジャンが実行されます。過去にはRamnitやKronos、Zloaderなどが使用されましたが、昨今ではUrsnifが
多用されています。また、最近ではUrsnifを単体で使用することはなく、その前段階として
SmokeLoaderが好んで使われています。
日本を標的としたDrive-by Download攻撃は、Bottle Exploit Kitなど他にもありますが、それらの多くが
バンキングトロジャンを使用して銀行等の情報を窃取することが目的です。同一のアクターによるも
のの可能性も考えられますが、日本はそうしたバンキングトロジャンを用いた攻撃に狙われる傾向が
あると言えます。
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 7 of 8

さいごに
今回はSpelevo Exploit Kitを用いたPseudoGateキャンペーンによるDrive-by Download攻撃について、実際
のコードを解析しながら攻撃の流れを詳細に紹介しました。Drive-by Download攻撃自体は下火になっ
ていますが、現在でも根強く攻撃を行っているアクターがいます。それらのうち、日本を標的とした
攻撃キャンペーンは、日本語のWebサイトを用いたり、日本に特化した特徴を持つなど、より注意が必
要となります。こうした攻撃は今後も継続していくと考えられるため、引き続き警戒が必要でしょ
う。
また、今回Spelevo Exploit KitはAdobe Flash Playerの脆弱性を悪用しました。Adobe Flash Playerは既にサ
ポートが終了しており、アンインストールすることが推奨[14]されています。さらに、Spelevo Exploit
Kitは他にもCVE-2018-8174を使用することがありますが、これはパッチが適用されていないInternet
Explorerを使用していることで攻撃に晒されます。こうしたことから、既にサポートが終了している
Adobe Flash Playerや、最新のパッチが適用されていないInternet Explorerの使用を中止することが強く推
奨されます。
IOC
Spelevo Exploit Kit
37[.]18.90.119
37[.]18.90.44
参考文献
[1] nao_sec, Say hello to Bottle Exploit Kit targeting Japan
[2] NTTセキュリティ・ジャパン, When you gaze into the Bottle,...
[3] アクティブディフェンス研究所, 日本を標的とした新たなDrive-by Download攻撃キャンペーン
PseudoGate
[4] NTTセキュリティ・ジャパン, RIGエクスプロイトキット解析レポート
[5] nao_sec, Analyzing GrandSoft Exploit Kit
[6] nao_sec, Hello "Fallout Exploit Kit"
[7] Twitter, @kafeine
[8] Malwarebytes, The HookAds malvertising campaign
[9] Twitter, @adrian__luca
[10] Malware-Traffic-Analysis, 2019-03-16 - Spelevo EK examples
[11] Cisco Talos, Welcome Spelevo: New exploit kit full of old tricks
[12] Cybereason, Exploit Kits “Shade” Into New Territory
[13] IPA, Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等)
[14] Adobe, Adobe Flash Playerサポート終了
Source: https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
https://insight-jp.nttsecurity.com/post/102gsqj/pseudogatespelevo-exploit-kit
Page 8 of 8