軍事契約企業に対する高度な標的型攻撃について、先日記事を掲載した

  そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。

  この攻撃はPDFファイルで実行された。まただ。

  これは「CVE-2009-4324」脆弱性を標的にしている。まただ。

  オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

pdf

  バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。

  さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

ncsi

  うーん。このアジェンダは、どこかで見たような。

  我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。