#OCJP-136: 「FHAPPI」 Geocities.jpとPoison Ivy(スパイウェア)のAPT事件

１．はじめに *)本APT攻撃の目標をもっと知りたいなら、私の Q & A (英文)インタビュー内容をご確認ください。 ついさっき VXRL(credit)から連絡があり、あるAPTフィッシングメールのURLでマルウェアをダウンロードしているようです。URLは国内のGeocitiesさんのお客様サイトで、早く削除が欲しいとの問い合わせでした。 サンプル/証拠： ※）APT攻撃のフィッシングメールですので、ここで全てのメール情報を見せる事が出来ません。 どんなマルウェアを聞いていたら、情報が不明で、僕の方で色んなシグネチャーを確認したら検知率はゼロとの事で、これじゃマルウェアの証明が無いと多分Geocitiesさんも対応してくれないだとうと、僕の方で本件のＡＰＴ解析をしました。 この解析の結果を使ってマルウェア駆除の参考情報にしてください。 ｜APTとは？ ｜ ｜APT攻撃(標的型攻撃)とは

[unixfreaxjp]

メモ：リバーシングした時に検知率は全然出ない（ゼロ）、今回は新規バーションのキャンペーンで色々が変わった。攻撃者はＡＰＴ１．我々（日本では）ＦＨＡＰＰＩ攻撃との名前を付けました。

[mkusunok]

Geocitiesに転がってるこの手の検体を一網打尽にする方法ないかなぁ