軍事契約企業に対する高度な標的型攻撃について、先日記事を掲載した。
そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。
この攻撃はPDFファイルで実行された。まただ。
これは「CVE-2009-4324」脆弱性を標的にしている。まただ。
オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。
さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

うーん。このアジェンダは、どこかで見たような。
我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。
そして現在、同様の攻撃が情報産業に対して行われているのを目撃した。
この攻撃はPDFファイルで実行された。まただ。
これは「CVE-2009-4324」脆弱性を標的にしている。まただ。
オープンすると、このPDFファイル(md5: c3079303562d4672d6c3810f91235d9b)は以下のように見える:

バックグラウンドでは実際何が起きているのか? 前回同様、同エクスプロイト・コードはUpdater.exe(md5: 02420bb8fd8258f8afd4e01029b7a2b0)という名称のファイルにバックドアをドロップする。
さて、このドキュメントは何について語っているのだろうか? 大統領誕生日? DNI情報共有環境? 聞いたことがないので検索してみたところ、来月ドイツで「Intelligence fair & expo」が開催されるそうだ。

うーん。このアジェンダは、どこかで見たような。
我々は同ファイルを「Exploit.PDF-JS.Gen」および「Trojan-Spy:W32/Agent.NBZ」と検出した。