ウイグルに対する攻撃はまだ止んでいないようだ。我々は近頃、侵害されたウイグルのWebサイトに遭遇した。そこでは、CVE-2013-0634の脆弱性を突く悪意のあるFlashが再生される。
このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。
また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。
MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。
こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。
• 977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
• 82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
• 040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
• 35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
• ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF
Post by — Karmina and @Timo
このFlashファイルには、各々別のEXEバイナリに埋め込まれた2つのDLLファイルが含まれている。一方は32ビット・システム用で、もう1つが64ビット・システム用のようだ。
また、この2つの実行形式のバイナリは、異なる証明書でデジタル署名されている。
MGAME Corp.の無効な証明書で署名されたサンプルのほうは、1か月以上前にFireEyeによって分析されたものと同一だ。もう一方のバイナリはblog.sina.com.cnに更新について問い合わせを行う。
こうした脅威の同様のサンプルも、チベットを標的とした攻撃で使用されていることが確認されている。
関連のあるサンプル:
• 977bb28702256d7691c2c427600841c3c68c0152 – Exploit:SWF/Salama.B
• 82b99d5872b6b5340f2c8c0877d6862a6b1f6076 – Trojan.Agent.AYYE
• 040069e5ecf1110f6634961b349938682fee2a22 – Trojan.Generic.8698229
• 35161bd83cbfe216a03d79e3f5efea34b62439a6 – Trojan:W32/Agent.DUJV
• ce54a99d0a29c945958228ae7d755519dee88c11 – Trojan.Agent.AYAF
Post by — Karmina and @Timo