ロシアのカスペルスキーラボは、ほとんどのウイルス対策製品を回避する興味深い標的型攻撃を見つけたとして、ブログで注意を呼びかけた。スピアフィッシング攻撃の一つで、様々なチベットの政治活動家や人権擁護家を狙う。

 この攻撃で送信される電子メールは、件名に中国語で「カシャック(チベット亡命政府の内閣)が中国の不屈の民主活動家、李旺陽(リー・ワンヤン)氏殺害に関して徹底的捜査を開始」と書かれており、「李旺陽」の名前を含む「.doc」ファイルが添付されている。

送られてくる電子メール

 メッセージ本文には、カシャックが中国の民主化を支援するために、6月初めに自殺と報じられた李旺陽氏の不審死について徹底的な捜査を開始することを決定したとする内容が中国語で書かれている。

 添付ファイルの送信先は、チベット人のコミュニティー、活動家、人権擁護家など多数に上る。メールは別のチベット人活動家になりすしまして送信されたもの。そのメールアドレスは米民間情報機関ストラトフォーのデータベースがセキュリティ侵害を受けた際に流出していた。しかし名前はストラトフォーのデータベースに載っていたユーザーアカウントと全く関係なく、攻撃者がどのようにしてチベット人コミュニティーについて知ったのかは不明である。

 添付ファイルは容量が266Kバイトで、スピアフィッシングでは一般的なサイズだが、技術的な面で興味深い特徴がいくつかある。ファイルは、Word文書を装って「mscomctl.ocx」に存在するコードの欠陥(CVE-2012-0158)を利用する。ただ、このファイルのコンテンツは、CVE-2012-0158を利用する他のエクスプロイトとは異なる。まず第一に、ファイルヘッダーが一般的なRTF形式を示していない。

RTF形式のヘッダー

 代わりに、ファイル全体が単一のOLEストリームWordファイルとして扱われる。スキャナーには「\object」および「\objocx」タグを使って埋め込まれたOLEストリームやオブジェクトを探すものが多く、このファイル全体を見過ごしてしまう。このファイルタイプは、これまでCVE-2012-0158攻撃に使われたものでは見たことがないとカスペルスキーラボは指摘している。

.docファイルのヘッダー

 ファイルが開いて実行されると、脆弱なコードがスタックオーバーフローを引き起こす。シェルコードが起動し、最終的にバックドア型トロイの木馬(カスペルスキーラボは「Backdoor.Win32.Agent.cjqi」として検出)が%temp%にインストールされる。このトロイの木馬は、ファイルをディスクに書き出す前に、xor―rorループを用いてメモリー内でコンテンツを解読する。この単純なループは不正な実行コンテンツがあまり怪しく見えないようにするのに役立つ。

 カスペルスキーラボは、このAPT攻撃の開発チームはゆっくりとスキルを高め、策略を練り、アンチウイルス製品の検知から逃れることに力を注いでいるとみている。