標的型/セミ標的型攻撃では、昨年12月以来、Microsoftの「RTFスタックバッファオーバフロー脆弱性(CVE-2010-3333)」に対するエクスプロイトを利用している。同脆弱性は11月に、Security Bulletin MS10-087で修正された。

  我々が見てきた、「CVE-2010-333」を悪用する攻撃の多くは、時事的なサブジェクトラインを使用している。

  そして今週も違いは無い。だからもちろん、「FW: Courier who led U.S. to Osama bin Laden's hideout identified(アメリカをオサマ・ビンラディンの隠れ家に導いたスパイ)」というサブジェクトを使用した「オサマ・ビンラディンRTFエクスプロイト」が広がっている。

  ファイル名は「Laden's Death.doc」で、以下のようなものだ:

Courier who led U.S. to Osama bin Laden's hideout identified

  このRTFファイルが開かれると、エクスプロイトがシェルコードを実行し、「server.exe」という名のファイルを「C:/RECYCLER」内にドロップして実行する。

  「C:/RECYCLER/server.exe」は以下のことをする:

  •  システムの一時フォルダにファイル「vmm2.tmp」をドロップする
  •  ファイル「vmm2.tmp」は名称を変更され、「c:\windows\system32\dhcpsrv.dll」に移動される
  •  DHCPサービスをハイジャックしようと、レジストリ修正を行う

  これは「ucparlnet.com」でホスティングされるC&Cに接続しようとする。

  ペイロードには以下の能力がある:

  •  更なるマルウェアをダウンロード
  •  リモートサーバに接続し、極秘データを送信
  •  Trojanプロキシサーバとして行動

  「contagio malware dump」は、「今日、米国政府内の多くの標的に送信された」と報告している。

  我々のバックエンドをチェックしたところ、エフセキュアのカスタマも危険にさらされていることが分かった。同エクスプロイトに対する我々の検出名は「Exploit:W32/Cve-2010-3333.G」で、RTFペイロードは「Trojan:W32/Agent.DSKA」として検出されている。

  いつもと同様、通常のアドバイスが当てはまる。添付ファイルを開く際は注意し、MS Word/Officeを修正/アップデートし、アンチウイルスを最新版にしておくことだ。

  「CVE-2010-3333」攻撃のさらなる例については、「contagio」をご覧頂きたい。

追記:以下はこのドキュメントを拡散している電子メールの画像だ。これはワシントンD.C.のアナリストに送られたものだ。同画像は、Lotta Danielsson-Murphyにより公開された。このメールの送信者情報は本物ではない点に注意して欲しい。

Laden's Death.doc