TravNet ???????????????
6 月 5 日、Kaspersky 社は「The NeTTraveler (aka ‘TravNeT’)」(英語)と題するホワイトペーパーを公開しました。このホワイトペーパーでは、政府機関、企業、民間団体など世界中のさまざまな組織を狙う、ある標的型攻撃について解析されています。この調査は、「Travnet Trojan Could Be Part of APT Campaign(Travnet Trojan は APT 攻撃の一環か)」(英語)という McAfee 社のブログにも関連しています。これは、シマンテックも監視を続けている、ある攻撃について今年の 3 月に公開されたブログです。シマンテックは、この脅威に対して以下のウイルス対策定義を追加しました。
また、以下の IPS 定義も追加しています。
- System Infected: Trojan.Travnet
- Web Attack: Microsoft Common Controls CVE-2012-0158
- Attack: MS Office Word RTF Exploit CVE-2010-3333
この攻撃で確認された感染経路はスピア型フィッシングメールで、特別に細工されたリッチテキスト形式(RTF)のファイルが添付されています。悪質な RTF ファイルで悪用が確認されているのは、Microsoft Windows コモンコントロールの ActiveX コントロールに存在するリモートコード実行の脆弱性(CVE-2012-0158)と Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性(CVE-2010-3333)ですが、どちらも Microsoft Office などの Microsoft 製品についてパッチがすでに公開されている脆弱性です。同様の動作は、Microsoft Word を悪用して投下されるファイルでも確認されており、これは Trojan.Mdropper として検出されます。
悪用に成功するとマルウェアが投下され、そのマルウェアがさらに別のファイルを投下したうえで標的から情報を盗み出し、攻撃者のコマンド & コントロール(C&C)サーバーに送信します。シマンテック製品は、このスピア型フィッシングの Word 文書を Trojan.Mdropper として、投下されるファイルを Trojan.Travnet として検出します。
お使いのソフトウェアが最新版であることを確認し、疑わしいリンクをクリックしたり、怪しい添付ファイルを開いたりしないようにしてください。標的型攻撃から保護するために、シマンテックの最新技術をお使いいただき、多層防御を導入することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。