image

Nieuwste Flash-aanval afkomstig van Chinees systeem

vrijdag 8 februari 2013, 12:31 door Redactie, 0 reacties

De aanvallers die twee onbekende beveiligingslekken in Adobe Flash Player gebruikten om organisaties aan te vallen werkten van een computer waar Chinees als taal was ingesteld. Dat ontdekte beveiligingsbedrijf FireEye. De zero-day kwetsbaarheden werden uitgebuit via kwaadaardige Word-bestanden met daarin een Flash-bestand als boobytrap en drive-by downloads.

In totaal zijn er nu twee Word-bestanden ontdekt die bij de aanvallen zijn ingezet. Hoewel de inhoud van deze bestanden Engelstalig is, is de taalinstelling van de Word-bestanden Chinees. Volgens FireEye een 'interessant gegeven'. Het Flash-bestand dat in de Word-bestanden zat verstopt en de exploitcode bevat kreeg van de aanvallers de naam 'LadyBoyle'.

Een ander opmerkelijk gegeven van de malware is dat de gebruikte exploit slechts zes Flash-versies ondersteunt. Het gaat hierbij om zeer recente versies, waarvan de 'oudste' eind augustus vorig jaar verscheen. Het lijkt erop dat de aanvallers er rekening mee hielden dat hun slachtoffers over gepatchte Flash Player-versies beschikten.

Malware
De malware die de aanvallers via de exploits op het systeem plaatsen is afgelopen maandag, 4 februari, gecompileerd. Dit bestand is met een ongeldig certificaat van een Koreaans gamebedrijf gesigneerd. Daarnaast hernoemt het bestand zichzelf, waardoor het als een Google update proces moet doorgaan.

De exploits om de computers te infecteren mogen dan nieuw zijn, de gebruikte malware-familie is dat volgens FireEye niet en is bij eerdere aanvallen waargenomen. Om welke familie het gaat wil de beveiliger niet zeggen.

Domeinen
Na de herstart van de computer controleert de malware op de aanwezigheid van verschillende virusscanners en maakt het verbinding met de Command & Control-server, die via het domein ieee.boeing-job.com wordt aangeroepen.

Eén van de aanvallen was ontdekt door het Lockheed Martin Computer Incident Response Team, wat suggereert dat de aanvallers het op Amerikaanse defensiebedrijven en/of luchtvaartindustrie hadden voorzien. In totaal zijn er 25 domeinen ontdekt die bij de aanval betrokken waren.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.