脆弱性「CVE-2012-0158」を突く標的型攻撃、世界各地で確認

トレンドマイクロでは一連の標的型攻撃「作戦活動(キャンペーン)」を仕掛ける攻撃者たちを監視していますが、前回ブロクで報告したように攻撃が引き続き実行されていることを確認しています。Microsoftは、約2週間前の2012年4月10日(米国時間)に「2012年4月のセキュリティ情報(月例)」を公開したばかりですが、攻撃者たちは、こうした絶好の機会を見逃さず、このセキュリティ情報「MS12-027」に言及されている脆弱性「CVE-2012-0158」を利用して標的とするネットワークに巧みに侵入しているようです。

さらに、前回報告した時点よりもキャンペーンによる攻撃対象は世界各国に広がっていることを確認しています。

事例1:台湾
トレンドマイクロは、今週、監視を続けるキャンペーンの 1つに関連する攻撃者が上述の CVE-2012-0158 を利用し始めたことを確認しています。この脆弱性を利用する不正なファイルは、”子女教育補助費101新版.doc” という添付ファイルとして侵入します。この攻撃で送信されるメールの一例は以下の通りとなります。

図1:台湾政府機関を標的とする不正なファイルが添付されてメールの一例
図1:台湾政府機関を標的とする不正なファイルが添付されているメールの一例

事例2:日本
弊社は、また、日本の企業に送られたメールも確認しています。このメールは、異なる日本企業から送信されたように装っていました。

図2:日本の企業を標的とするメールの一例
図2:日本の企業を標的とするメールの一例

トレンドマイクロは、以前から現在に至るまで、こうした企業を狙う攻撃を監視し続けています。過去の攻撃事例では、脆弱性「CVE-2009-3129」が利用されています。リッチテキストファイル(RTF形式)は、”20120420.doc” というファイル名で、この不正な RTF形式ファイルが送信された翌日の “2012年4月20日” に関連しているようです。

これ以外には、脆弱性「CVE-2012-0158」を利用する RTF形式の不正なファイルを以下のように確認しています。

  • 献金を受け取る機構及び人のリスト.doc
  • Development_plan_canon_2012.doc

    • こうした RTF形式の不正なファイルは、他の不正なファイル(「TSPY_GEDDEL.EVL」として検出)を作成する機能を備えています。不正な RTFファイルや「TSPY_GEDDEL.EVL」の不正活動については、前回の記事をご参照ください。

    事例3:ロシアやベトナムなど
    このほか、弊社では、ロシアやベトナムといった特定の地域を標的とする RTF形式の不正なファイルを確認しています。というのも、”ядерные материалы.doc(日本語訳:核物質.doc)” というロシア語のファイルや、”Cập nhật tình hình 4.18.doc(日本語訳:更新情報 4.18.doc)” というベトナム語のファイルが確認されているからです。これらの事例でも、脆弱性「CVE-2012-0158」が利用されています。また上述の 2カ国以外にも同様に CVE-2012-0158 を利用する RTF形式の不正なファイルがインドやタイで確認されています。

    ■定着する「CVE-2012-0158」を利用した攻撃
    Contagio」も報告しているように、トレンドマイクロでは、Microsoft が公開してわずか 2週間後にこの「CVE-2012-0158」がさまざまな標的型攻撃において利用されており、その傾向が増加していることを確認しています。Contagio によると、こうしたキャンペーンにおいて、不正な RTF形式ファイルを生成するツールが利用されている恐れがあります。ただし、弊社は、現時点でこうしたツールを確認していません。しかし、この脆弱性を突く攻撃手法を用いたキャンペーンは、常とう手段と化しており、今後もこのような攻撃が増えると予測します。

    なお、攻撃者が頻繁に CVE-2012-0158 を利用する理由として、Microsoft はソフトウェア市場において 90%以上を占めているからと考えられます。こうした背景が、攻撃者の標的基盤を増加させているのでしょう。さらにすべてのユーザが Microsoft 公認のソフトウェアを所有しているわけではなく、これがこうした攻撃の危険性を倍増させます。

    ■トレンドマイクロからのソリューションとは
    トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の事例に関連する不審なメールや不正なファイルを検出および削除します。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション」をご利用のユーザは、以下のフィルタを適用することにより、上述の脆弱性を利用した攻撃からコンピュータを守ることができます。

  • 1004973 – MSCOMCTL.OCX RCE Vulnerability For Rich Text File(CVE-2012-0158)
  • 1004977 – Restrict Microsoft Windows Common ListView And TreeView ActiveX Controls
  • 1004978 – MSCOMCTL.OCX RCE Vulnerability For Office Binary File(CVE-2012-0158)

    • また、この脆弱性を突いた攻撃から身を守るために、Microsoft の「2012年4月のセキュリティ情報(月例)」を確認し、セキュリティ更新プログラムを直ちに適用してください。

    参考記事:

  • CVE-2012-0158 Exploitation Seen in Various Global Campaigns
     by Ivan Macalintal (Threat Research Manager)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. “Adobe Flash Player” に新たなゼロデイ脆弱性を確認。 今回はWordファイルに埋め込まれる
    2. 脆弱性「CVE-2012-1535」、バックドア型不正プログラムをもたらす
    3. クリスマスに便乗する不正プログラムを今年も確認
    4. 2012年のセキュリティ動向を振り返る:「ポストPC」時代に進化する脅威