RigEK新しいのは、CVE-2018-8174を使用しているそうです。

「Rig Exploit Kit（Rig EK）」のような脆弱性攻撃ツール（エクスプロイトキット）を利用した攻撃は、通常、改ざんされた Web サイトを起点とします。攻撃者は、不正なスクリプトやコードを Web サイトに埋め込み、アクセスしたユーザをエクスプロイトキットのランディングページにリダイレクトします。しかし、2017 年 2 月から 3 月頃に実施されたサイバー攻撃キャンペーン「Seamless」では、非表示にした iframe を経由してランディングページにリダイレクトしていました。iframe は Web ページの中に別のページのコンテンツを埋め込むために使用される HTML 要素です。
今回確認された Rig EK は、脆弱性「CVE-2018-8174」を利用し、最終的な不正活動のために仮想通貨発掘ツールを統合していました。CVE-2018-8174 は、Windows 7 以降の Windows OS で「遠隔でのコード実行（Remote Code Execution、RCE）」が可能になる脆弱性で、2018 年 5 月に更新プログラムが公開されています。Rig EK が利用した脆弱性攻撃コード（「VBS_CVE20188174.B」として検出）は、最近公開された「概念実証（Proof of Concept、PoC）」を流用したものと思われます。この攻撃は、脆弱なスクリプトエンジンを利用する Internet Explorer（IE）および Microsoft Office 文書に対して有効です。
よく利用されていたエクスプロイトキットの活動停滞や、その他の手口への転換の結果、最も活発に確認されるエクスプロイットキットとして Rig EK が残っています。Rig EK はさまざまな脆弱性を利用してきました。コード実行が可能になる Adobe Flash の古い脆弱性「CVE-2015-8651」もその 1 つです。この脆弱性は、「Astrum EK」のようなエクスプロイトキットやその他のサイバー犯罪者によっても利用されました。

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散 | トレンドマイクロ セキュリティブログ