중국해커, 이메일로 티벳 옹호단체 공격

Security Skill&Trend 2008/03/24 23:53

헐랭이와 IT보안 블로그를 방문 했다가 중국해커가 티벳 옹호하는 단체에 이메일 공격을 했다는 내용이 올라 왔다.

그래서 링크되어 있는 싸이트를 방문해 보았다. 다음과 같은 메일을 신뢰할수 있는 발송자 이름을 보냈다고 합니다.

사용자 삽입 이미지

그리고 나서 키로거를 실행할수 있는 PDF 첨부 파일도 함께 보냈다고 합니다...

However, this is not a normal PDF document. It contains a modified version of a PDF-Encode vulnerability
to exploit Adobe Acrobat when the document is opened.

The exploit silently drops and runs a file called C:\Program Files\Update\winkey.exe. This is a
keylogger that collects and sends everything typed on the affected machine to a server running at xsz.8800.org. And 8800.org is a Chinese DNS-bouncer system that, while not rogue by itself, has been used over and over again in various targeted attacks.

PDF 취약점을 이용하여 파일을 열게 되면  C:\Program Files\Update\winkey.exe.가 실행되고 키로거가 동작라여 타이핑하는 모든 것이 xsz.8800.org.로 보내진다고 합니다.

  
 UNPO Statement of Solidarity.pdf
   Daul-Tibet intergroup meeting.doc
   tibet_protests_map_no_icons__mar_20.ppt
   reports_of_violence_in_tibet.ppt
   genocide.xls
   memberlist.xls
   Tibet_Research.exe
   tibet-landscape.ppt
   Updates Route of Tibetan Olympics Torch Relay.doc
   THE GOVERNMENT OF TIBET.ppt
   Talk points.chm
   China's new move on Tibetans.doc
   Support Team Tibet.doc
   Photos of Tibet.chm
   News ReleaseMassArrest.pdf
   Whole Schedule and Routing for Torch Relay.xls

신뢰된 발송자가 첨부하여 보낸 파일 명

그것은 다양한 파일 DOC, XLS, PPT, PDF, CHM 로 공격을 감행 하는 것이다. 과연 신뢰하는 발송자가 메일을 보내면 관심있는 파일 이름으로 받았을떄 그것을 클릭하지 않을 확률은 얼마나 되는가?

항상 조심하는 습관을 생활화 하자..

'Security Skill&Trend' 카테고리의 다른 글

OTP(일회용 패스워드)기기 통합 할순 없나?  (3) 2008/03/28
알아줄 이 없는 보안 취약성 발표하면 뭐하나?  (0) 2008/03/26
중국해커, 이메일로 티벳 옹호단체 공격  (0) 2008/03/24
해킹, 왜 뚫리는가?  (0) 2008/03/23
보안 패치 기능 2%만 사용  (0) 2008/03/20
공공기관이 트로이 목마 배포처  (0) 2008/03/19
Posted by 엔시스
TAG
트랙백 0, 댓글 0개가 달렸습니다.