F-Secure Labsは、新たな興味深い標的型攻撃について情報を得た。このケースでは、悪意あるPDFファイルが米軍事契約企業にメールで送られた。Googleなどに対する「Aurora」攻撃は2009年12月に起きたが、今回のものは先週起きたばかりだ。
このPDFファイルはかなりもっともらしいもので、国防総省から来たもののように見えた:
PDF file md5 hash: c144581973fe16a6adca09e0d630bf63
同ドキュメントは、3月にラスベガスで開催される実際のカンファレンスについて述べている。
Adobe Readerで開かれると、このファイルはCVE-2009-4324脆弱性を悪用する。これはAdobeが先週火曜日に修正したdoc.media.newPlayer脆弱性だ。
同エクスプロイトはUpdater.exe (md5: 3677fc94bc0dd89138b04a5a7a0cf2e0)という名称のファイルをドロップする。これはIPアドレス140.136.148.42に接続するバックドアだ。検出を避けるため、これは接続を行う際、ローカルWebプロキシをバイパスする。
同IPをコントロールする者は誰でも、感染したコンピュータと企業ネットワークにアクセスする。この特定のIPは台湾に位置している。
このPDFファイルはかなりもっともらしいもので、国防総省から来たもののように見えた:
PDF file md5 hash: c144581973fe16a6adca09e0d630bf63
同ドキュメントは、3月にラスベガスで開催される実際のカンファレンスについて述べている。
Adobe Readerで開かれると、このファイルはCVE-2009-4324脆弱性を悪用する。これはAdobeが先週火曜日に修正したdoc.media.newPlayer脆弱性だ。
同エクスプロイトはUpdater.exe (md5: 3677fc94bc0dd89138b04a5a7a0cf2e0)という名称のファイルをドロップする。これはIPアドレス140.136.148.42に接続するバックドアだ。検出を避けるため、これは接続を行う際、ローカルWebプロキシをバイパスする。
同IPをコントロールする者は誰でも、感染したコンピュータと企業ネットワークにアクセスする。この特定のIPは台湾に位置している。
