フィッシングメールのサンプル
出展: http://news.mynavi.jp/news/2015/07/03/626/
逆アセンブルリスト(一部)
出展: http://news.mynavi.jp/news/2015/07/03/626/
【概要】
■APT3/UPS
- APT3は特に危険な標的型攻撃を行うグループ
- APT3は、航空宇宙・防衛、建設・土木、ハイテク、通信、運輸といった業種を標的にしている
■攻撃手法
- 今回URLをクリックすると、JavaScriptのプロファイルスクリプトが仕込まれた感染サーバーへといったんリダイレクト
- Adobe Flash Playerの脆弱性「CVE-2015-3113」を使用
■アンチアナリシス機能
- 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回
- ROPを用いてデータ実行防止(DEP)機能を迂回
- 一定のROP検知手法も回避
- ペイロードはXORで暗号化
- ペイロードは画像内に隠蔽
- RC4パッカーでパック
- RC4の鍵と暗号データは、BinaryDataブロブに格納
- ActionScript3内で自らのクラスを定義
【ニュース】
◆Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導? (マイナビニュース, 2015/07/03)
http://news.mynavi.jp/news/2015/07/03/626/
【関連まとめ記事】
◆アンチアナリシス機能 (まとめ)
https://malware-log.hatenablog.com/entry/Anti_Analysis
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆APT3 / Gothic Panda (まとめ)
https://malware-log.hatenablog.com/entry/APT3