Defensiebedrijven zijn het doelwit van een gerichte aanval geworden waarbij "vergiftigde" doc-bestanden zijn gebruikt. Zowel Symantec als Sophos melden aanvallen tegen defensiebedrijven. In beide gevallen gebruikers de aanvallers kwetsbaarheid CVE-2012-0158. Het gaat hier om een lek in Windows Common Controls dat Microsoft op 26 april van dit jaar patchte en waardoor een aanvaller willekeurige code op het systeem kan uitvoeren, zoals het installeren van een backdoor.
Sophos meldt dat het bestand Details.doc de PittyTiger backdoor probeert te installeren. De meest gerichte aanvallen via CVE-2012-0158 gebruiken het RTF-formaat. De aanval die Symantec beschrijft gebruikt een document dat naar de ASEAN Defense Ministers' Meeting verwijst.
Om slachtoffers niets te laten vermoeden wordt na het openen van het bestand een schoon document getoond. In de achtergrond wordt er via de exploit een backdoor geïnstalleerd. De malware maakt vervolgens verbinding met een Chinees IP-adres.
Deze posting is gelocked. Reageren is niet meer mogelijk.