拡大 ASEAN 国防相会議(ADMM プラス)は、ASEAN 加盟国とオーストラリア、中国、インド、日本、韓国、ニュージーランド、ロシア、米国の計 18 カ国が参加して 4 月に開催されました。
その ADMM プラスの進捗に関心を持つ人を無作為に狙ったリッチテキスト形式(.rtf)の悪質なファイルをシマンテックは確認しています。
この RTF ファイルは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)を悪用し、正常な MS Word 文書を投下してバックドアを開きます。正常な MS Word 文書を以下に示します。
この文書には、各国の国防に関係する人物の電話番号、FAX 番号、電子メールアドレスが多数掲載されています。これらの連絡先情報の虚実は確認できませんでしたが、電話番号のいくつかは公式な Web サイトに載っています。文書に一覧されている電子メールのドメインは以下のとおりです。
残念ながら、文書の発信元を特定するには至っていませんが、同じ脆弱性は他の調査でも確認されたことがあります(「チベット問題を利用するマルウェアに侵された正規のアプリケーション」を参照)。バックドアは、iexplore.exe ファイルとして一時フォルダに投下され、[スタートアップ]フォルダにショートカットが作成されるので、侵入先のコンピュータにユーザーがログインするときに実行されます。バックドアは、以下のドメインに接続します。
これらのドメインは、中国の IP アドレス(222.172.135.xxx)にリンクしています。
シマンテックは、この RTF ファイルとバックドアをそれぞれ Trojan.Dropper および Backdoor.Trojan として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。