我々は今日、綺麗なPDFファイルを見た(md5: 116d92f036f68d325068f3c7bbf1d535)。
以下のようなものだ:
素敵な花だ。
残念なことに、このファイルを見ると、Adobe Readerに対するエクスプロイトを使用しており、「1.exe」という名のファイルを動作させる。
この実行ファイルはPoison Ivyバックドアだ。「cecon.flower-show.org」というなのホストに「call home」する。同アドレスでコンピュータを制御している人は誰であれ、ターゲット・コンピュータへのリモート・アクセスを得る。このPDFは未知のターゲットに対する標的型諜報攻撃で使用された。
我々は2009年の時点で、「flower-show.org」というドメインを見ている。その時、他のPDFが「posere.flower-show.org」に「call home」していた。
今日、これらのホスト名の双方が、「202.150.213.12」にリゾルブされているが、これは中国にはない。シンガポールにある。
以下のようなものだ:
素敵な花だ。
残念なことに、このファイルを見ると、Adobe Readerに対するエクスプロイトを使用しており、「1.exe」という名のファイルを動作させる。
この実行ファイルはPoison Ivyバックドアだ。「cecon.flower-show.org」というなのホストに「call home」する。同アドレスでコンピュータを制御している人は誰であれ、ターゲット・コンピュータへのリモート・アクセスを得る。このPDFは未知のターゲットに対する標的型諜報攻撃で使用された。
我々は2009年の時点で、「flower-show.org」というドメインを見ている。その時、他のPDFが「posere.flower-show.org」に「call home」していた。
今日、これらのホスト名の双方が、「202.150.213.12」にリゾルブされているが、これは中国にはない。シンガポールにある。
