標的型/セミ標的型攻撃では、昨年12月以来、Microsoftの「RTFスタックバッファオーバフロー脆弱性(CVE-2010-3333)」に対するエクスプロイトを利用している。同脆弱性は11月に、Security Bulletin MS10-087で修正された。
我々が見てきた、「CVE-2010-333」を悪用する攻撃の多くは、時事的なサブジェクトラインを使用している。
そして今週も違いは無い。だからもちろん、「FW: Courier who led U.S. to Osama bin Laden's hideout identified(アメリカをオサマ・ビンラディンの隠れ家に導いたスパイ)」というサブジェクトを使用した「オサマ・ビンラディンRTFエクスプロイト」が広がっている。
ファイル名は「Laden's Death.doc」で、以下のようなものだ:
このRTFファイルが開かれると、エクスプロイトがシェルコードを実行し、「server.exe」という名のファイルを「C:/RECYCLER」内にドロップして実行する。
「C:/RECYCLER/server.exe」は以下のことをする:
• システムの一時フォルダにファイル「vmm2.tmp」をドロップする
• ファイル「vmm2.tmp」は名称を変更され、「c:\windows\system32\dhcpsrv.dll」に移動される
• DHCPサービスをハイジャックしようと、レジストリ修正を行う
これは「ucparlnet.com」でホスティングされるC&Cに接続しようとする。
ペイロードには以下の能力がある:
• 更なるマルウェアをダウンロード
• リモートサーバに接続し、極秘データを送信
• Trojanプロキシサーバとして行動
「contagio malware dump」は、「今日、米国政府内の多くの標的に送信された」と報告している。
我々のバックエンドをチェックしたところ、エフセキュアのカスタマも危険にさらされていることが分かった。同エクスプロイトに対する我々の検出名は「Exploit:W32/Cve-2010-3333.G」で、RTFペイロードは「Trojan:W32/Agent.DSKA」として検出されている。
いつもと同様、通常のアドバイスが当てはまる。添付ファイルを開く際は注意し、MS Word/Officeを修正/アップデートし、アンチウイルスを最新版にしておくことだ。
「CVE-2010-3333」攻撃のさらなる例については、「contagio」をご覧頂きたい。
追記:以下はこのドキュメントを拡散している電子メールの画像だ。これはワシントンD.C.のアナリストに送られたものだ。同画像は、Lotta Danielsson-Murphyにより公開された。このメールの送信者情報は本物ではない点に注意して欲しい。
我々が見てきた、「CVE-2010-333」を悪用する攻撃の多くは、時事的なサブジェクトラインを使用している。
そして今週も違いは無い。だからもちろん、「FW: Courier who led U.S. to Osama bin Laden's hideout identified(アメリカをオサマ・ビンラディンの隠れ家に導いたスパイ)」というサブジェクトを使用した「オサマ・ビンラディンRTFエクスプロイト」が広がっている。
ファイル名は「Laden's Death.doc」で、以下のようなものだ:
このRTFファイルが開かれると、エクスプロイトがシェルコードを実行し、「server.exe」という名のファイルを「C:/RECYCLER」内にドロップして実行する。
「C:/RECYCLER/server.exe」は以下のことをする:
• システムの一時フォルダにファイル「vmm2.tmp」をドロップする
• ファイル「vmm2.tmp」は名称を変更され、「c:\windows\system32\dhcpsrv.dll」に移動される
• DHCPサービスをハイジャックしようと、レジストリ修正を行う
これは「ucparlnet.com」でホスティングされるC&Cに接続しようとする。
ペイロードには以下の能力がある:
• 更なるマルウェアをダウンロード
• リモートサーバに接続し、極秘データを送信
• Trojanプロキシサーバとして行動
「contagio malware dump」は、「今日、米国政府内の多くの標的に送信された」と報告している。
我々のバックエンドをチェックしたところ、エフセキュアのカスタマも危険にさらされていることが分かった。同エクスプロイトに対する我々の検出名は「Exploit:W32/Cve-2010-3333.G」で、RTFペイロードは「Trojan:W32/Agent.DSKA」として検出されている。
いつもと同様、通常のアドバイスが当てはまる。添付ファイルを開く際は注意し、MS Word/Officeを修正/アップデートし、アンチウイルスを最新版にしておくことだ。
「CVE-2010-3333」攻撃のさらなる例については、「contagio」をご覧頂きたい。
追記:以下はこのドキュメントを拡散している電子メールの画像だ。これはワシントンD.C.のアナリストに送られたものだ。同画像は、Lotta Danielsson-Murphyにより公開された。このメールの送信者情報は本物ではない点に注意して欲しい。