悪質なプログラムを埋め込んだDOCファイルを使って軍需産業を狙う標的型攻撃が見つかった。8月初頭、英ソフォスがブログで注意を呼びかけた。
このマルウエア攻撃は、ソフォスが2年前に阻止した不正PDFファイルを使った攻撃と本質的によく似ているという。PDFファイルは原子力潜水艦から発射されるトライデントD-5ミサイルに関する資料を装い、ある軍事関連の契約業者に向けて送られた。
今回の攻撃も同じ契約業者に対して行われた。「Details.doc」という名前のファイルが電子メールに添付され、以下のような内容のメッセージとともに送信された。
「拝啓。貴社にいくつか質問があり、連絡を差し上げます。詳細については添付のドキュメントをご覧下さい。お返事をお待ちしております。敬具」
電子メールのメッセージ
電子メールは「YAHOO.COM.TW」というアドレスが送信者であるように見せかけているが、ヘッダーを確認すると「Received: from travwhanpc (61-220-44-2xx.HINET-IP.hinet.net [61.220.44.2xx])」となっており、YAHOOドメインから送信されたのではないことが分かる。IPアドレスは個人のコンピュータであることを示しているという。
添付のDetails.docファイルは、脆弱性「CVE-2012-0158」を突いて攻撃を仕掛ける。この脆弱性を狙う不正ファイルの大半はRTF形式だが、今回のファイルはOLE2形式のDOCファイルであることが通常と異なる。
Details.docファイルは「.exe」形式の実行可能コードを投下し、実行を試みる。同コードは「PittyTiger」バックドアを標的のWindowsマシンにインストールする。
実行可能コード
ソフォスは、軍需産業だけでなく、さまざまな業界の企業に対してCVE-2012-0158を悪用する多数のファイルがメール送信されるのを確認している。この脆弱性を修正するパッチはすでに米マイクロソフトが公開しており、これを即座に適用するようソフォスは促している。
