2月に遡るが、我々はウイグルに対するサイバー攻撃で使用されたWordドキュメントの新しいバリアントに気づいた。
このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。
ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。
C&Cサーバとしては「alma.apple.cloudns.org」を用いている。
このバリアントは以下の自己コピーと自動起動の設定を作る。
~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist
あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。
/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist
これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。
MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate
このバリアントは4月11日に中国からVirusTotalに初めて登録された。このとき、作者(Author)としてCaptainではなく、International Uyghur Human Rights and Democracy Foundationを指すと思われるIUHRDFが使われていた。
ファイル名とC&Cサーバは別のものが使われているが、ペイロードはずっと変わっていない。
C&Cサーバとしては「alma.apple.cloudns.org」を用いている。
このバリアントは以下の自己コピーと自動起動の設定を作る。
~/Library/Application Support/.realPlayerUpdate
~/library/launchagents/realPlayerUpdate.plist
あるいは、(2つのパラメータと共に実行した場合には)代わりに以下を作る可能性がある。
/Library/Application Support/.realPlayerUpdate
/library/LaunchDaemons/realPlayerUpdate.plist
これは同じマルウェアのままで、2月以降、一般にBackdoor:OSX/CallMe.Aとして検知されている。
MD5: ee84c5d626bf8450782f24fd7d2f3ae6 - poadasjkdasuodrr.doc
MD5: 544539ea546e88ff462814ba96afef1a - .realPlayerUpdate