エフセキュアの法人ビジネスチームが、「プロテクション サービス」の新たな「ソフトウェアアップデータ」機能を市場に出そうとしている。そこで彼らは、ラボのアナリスト@TimoHirvonenに、脆弱性からエクスプロイトに達するのにかかる時間を実証する例を提供してくれるよう頼んだ。

  以下はTimoによる、「CVE-2012-1535」に関するタイムラインだ:

  •  2012-08-14:脆弱性「CVE-2012-1535」を修正するAdode Flashプレイヤー用セキュリティアップデートをリリース
     (Adobe Flash Player用セキュリティアップデートを公開
  •  2012-08-15:「CVE-2012-1535」向けの組込形Flashエクスプロイトを含むMicrosoft Office Word書類がイン・ザ・ワイルドに。
     (Adobe Flashのエクスプロイトがイン・ザ・ワイルドにCVE-2012-1535—7つのサンプルと情報
  •  2012-08-17:エクスプロイトの開発と実行用のパブリックなオープンソースツールMetasploit Frameworkにエクスプロイトが追加される。
     (dobe Flash PlayerエクスプロイトCVE-2012-1535がMetasploitで利用可能に

  ご覧の通り、脆弱性がエクスプロイトに活用されるのに、大した時間はかからない。

  そして次に、Timoは興味をそそられて(彼はいつもそうなのだが)エクスプロイト自身「Exploit:SWF/CVE-2012-1535.B」を調査しようと考えた。

  彼は検索を行い、Digital4rensics Blogのこの記事を見つけた。これは「110630_AWE Platinum Partners.doc」というドキュメントファイルに関するVirusTotalのレポートにリンクしている。Symantecは、同ドキュメントが添付された、検閲済みのメール(少なくとも類似した)のスクリーンショットを、「CVE-2012-1535」の記事で紹介している。そしてContagioは、同じエクスプロイトを使用した複数のWord書類のリストを掲載している。

  そしてTimoは、2、3のサンプルを突き止めた:

CVE-2012-1535 Docs

  「110630_AWE Platinum Partners.doc」が最も興味深いことが分かった。上でリンクしているDigital4rensics Blogによれば、AWE Limitedはオーストラリアのオイル&ガス企業だ。しかしTimoにはピンと来なかった。彼はTybrinという名前を、他の書類で見たことがあり、それを米国防省の仕事をしているJacobsのTYBRIN Groupに結びつけた。

  それでは「110630_AWE Platinum Partners」ドキュメントがドロップするデコイドキュメントを見てみよう:

Working together to keep our world safe and secure by ensuring warheads are always available

  「弾頭が常に入手できるようにして、我々の世界を安全かつセキュアに保つよう強力。」

  弾頭?

  オイル&ガス企業とは関係無いような…

  デコイドキュメント中に名が挙げられている人びとをLinkedInで検索すると、今度は英国にあるAWEという別の組織に到達する:

Atomic Weapons Establishment

  AWEは「Atomic Weapons Establishment」を表しているようだ。

  ファイルのコンテンツには関係なく、誰が標的とされたのか、我々には分からないし、VirusTotalにこれらのドキュメントを提出したのが誰なのかも分からない。

「110630_AWE Platinum Partners.doc」のSHA1:51bb2d536f07341e3131d070dd73f2c669dae78e
デコイのSHA1:0eb24ffa38e52e4a1e928deb90c77f8bc46a8594