イタリアの情報漏えい事件、事前に日韓でテスト? - TM

からバイナリファイルがダウンロードされる。このファイルは、実際はXORで暗号化した実行ファイル(PEファイル)で、「TROJ_NETISON.AB」として検出されるもの。エクスプロイトのシェルコードは、このPEファイルを復号し、「C:\Users\<ユーザ名<\AppData\Local\Temp\RealTemp.exe」に保存、実行する。なお、このファイルと同名で正規のPC温度監視アプリケーション「Real Temp」は、この攻撃とは無関係だ。

このファイルは、ダウンローダとして不正なファイルやプロセス「mshta.exe」を作成。これは正規のシステムファイルだが、不正活動を行うコードがメモリに適用されている。

同社は、エクスプロイトコードをホストしたこのドメインにアクセスしたユーザがほかにもいることを確認している。多くは韓国のユーザだが、うち1人は日本のユーザだった。この不正活動は2015年6月22日に始まっているが、これらのユーザが、エクスプロイトコードを悪用した攻撃の対象であったかは確認できていないものの、その可能性は考えられるという。

この攻撃は、「Hacking Team」