チベットやウイグル関連サイトにFlashの脆弱性を悪用したウイルス感染攻撃

チベットやウイグル関連サイトにFlashの脆弱性を悪用したウイルス感染攻撃

チベットやウイグルの関連サイトにて、2013年2月に修正されたFlash Playerの脆弱性を悪用するドライブバイ・ダウンロード攻撃。。。

＜カスペルスキーの報告

Winnti-Stolen Digital Certificates Re-Used in Current Watering Hole Attacks on Tibetan and Uyghur Groups （Kapsersky）
http://www.securelist.com/en/blog/208194218/
Winnti_Stolen_Digital_Certificates_Re_Used_in_Current_Watering_Hole_Attacks_on_Tibetan_and_Uyghur_Groups

LadyBoyle 攻撃に悪用された Adobe 製品のゼロデイ脆弱性（Symantec）
http://www.symantec.com/connect/blogs/ladyboyle-adobe

ムスーリーにはチベット・ホーム・ファンデーション Tibetan Homes Foundation があり、文部省の指導の下で自主運営を行っている。（中略）チベット・ホーム・ファンデーションでは、1,500人の生徒が学ぶ2ヵ所の学校を運営している。

ダライ・ラマ法王日本代表部事務所
http://www.tibethouse.jp/cta/department.html

このチベット・ホーム・ファンデーションという団体サイトをチェックしてみると、不審なFlashファイル「footer.swf」を読み込むコードが仕掛けられてて

http://i47.tinypic.com/157y7ac.png

www.virustotal.com/ja/file/6f313c9dd05a654fc9e197ab55fdcab0ac397f765e8a66cc1c1f5475697d795d/analysis/1362168407/

SWF内部には、脆弱性の悪用が成功した場合にドロップされるバックドアのDLLファイル（32ビット用＆64ビット用）が組み込まれてるー。中国のハッカーが関係者をスパイするー。

http://i47.tinypic.com/2mg9kid.png

www.virustotal.com/ja/file/cc182a4c59b506a8a4f4730d50dc0c82bab6b851c0c42b67e3940ed9135f5649/analysis/1363812352/
www.virustotal.com/ja/file/b03623e4818e60869f67dba28ab09187782a4ae0f4539cef2c07634865f37e74/analysis/1362083736/

タグ：: Windows

「旧ジオログ記事」 カテゴリの記事

「旧ジオログ記事」カテゴリの記事