ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。

site (472k image)

 このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。

hiew (75k image)

 また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。

cert (116k image)

 MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。

 こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。


関連のあるサンプル:

  •  977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
  •  82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
  •  040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
  •  35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
  •  ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF

Post by — Karmina and @Timo