1. 概要
INCA Internet ER Teamでは2012年3月2日金曜日、特別の機関である国土地理院の特定ユーザに
CVE-2012-0754の脆弱性の不正なファイルを送信したことを発見しました。国土地理院は 国土交通省設置法及び測量法に基づいて測量行政を行う、国土交通省に置かれる特別の機関です。不正なファイルの侵入方法は
Adobe Flash Player の脆弱性コードが含まれているExcelファイルを添付した形です。もし、ユーザがセキュリティに脆弱性がある時に該当文書ファイルを実行する場合、更に他の不正なファイルに感染します。行政官庁に所属している人を目標としたこのような攻撃は、最新セキュリティの脆弱性を利用しているため、注意する必要があります。
最近、CVE-2012-0754 の脆弱性を利用した不正な文書ファイルが度々発見されているので、ユーザは文書ファイルを開く際に不正ファイルかどうかを確認する必要があります。下記の画面はINCA Internet ER Teamが手に入れた CVE-2012-0754 の脆弱性を利用した不正な文書ファイルです。
■ CVE-2012-0754 の情報
2. 侵入方法及び症状不正なファイルは国土地理院の特定Eメールユーザに次のように発送されて、「地域デザイン学会の名簿.xls」というタイトルで、不正なファイルを含まれています。発信者は東海大学政治経済部経済学科所属のようで、地域デザイン学会名簿を送る内容としてなっています。
上記の内容は次のようです。(一部は省略)
タイトル :
メールの内容 :
東海大学の**でございます。
添付ファイル :
地域デザイン学会の名簿.xls
地域デザイン学会名簿について
メールの内容 :
東海大学の**でございます。
2月27日現在の地域デザイン学会の名簿を送付させていただきます。今月は新規会員の承認は必要ないということでしたので,現状報告でございます。
また,名簿の共有方法については**先生に教えていただいたのですが、まだ設定が出来ておりません。出張から戻りましたら共有できるようにいたしますので,よろしくお願い申し上げます。
大変申し訳ございませんが,2月28日~3月6日,8日~10日および12日は出張等で不在となりますため,その間メールの確認が出来ません。どうぞよろしくお願い申し上げます。
まずは取り急ぎご連絡申し上げます。
添付ファイル :
地域デザイン学会の名簿.xls
MS Office プログラムに脆弱性ある時に、ユーザが地域デザイン学会名簿.xls 添付ファイルを実行する場合、画面には不正Flashが含まれている文書が現れます。
上記の画面が現れると共に特定ウェブサイトへ接続して CVE-2012-0754 の脆弱性がある syoukai.mp4 ファイルをダウンロードして実行し、 Temp フォルダに Bladex_reg.exe という不正なファイルを作成し実行します。
その後、また次のようなパスに plugin_containor.exe という不正なファイルを隠し属性として作成し実行します。
パス : C:\Documents and Settings\(ユーザ名)\Application Data\Microsoft
名前 : plugin_containor.exe
名前 : plugin_containor.exe
plugin_containor.exe ファイルは特定遠隔地 (C&C) への接続を試し、攻撃者の追加コマンドを待機します。このような不正なファイルに漏えいされると Backdoor や遠隔コントロールによってユーザの重要情報及び資料漏えいの恐れがあります。
3. 予防措置
上記のような不正なファイルは特定標的を対象として攻撃するアドバンスドパーシスタントスレット攻撃 (APT:Advanced Persistent Threat) 攻撃で最新脆弱性と受信者には正常的なメールのように装っています。
上記の脆弱性は Adobe Flash Player の最新バージョンのインストールによって予め予防が可能です。
http://get.adobe.com/kr/flashplayer/
このような不正なファイルに漏えいされないようには、重要プログラムの最新セキュリティアップデートをインストールすることが重要です。代表的には MS Windows OS、JAVA, Flash Player、Adobe Reader、MS Office、Hancom HWP などがあります。
安全なPC使用のためには下記のような基本的なセキュリティ管理規則を守るなどユーザが関心を持って努力する必要があります。
※ セキュリティ管理規則
1. WindowsのようなOS及び各種応用プログラムに対する最新セキュリティパッチ生活化すること。
2. 信頼出来るセキュリティ企業から提供するワクチンを最新エンジン及びパターンバージョンにアップデートして使って、必ずリアルタイム監視機能をいつも"ON" の状態に維持して使うようにすること。
3. メッセンジャ、SNSなどを通したリンク接続を注意すること。
4. SNS利用時に出所が不明なリンクの場合、接続に注意すること。
1. WindowsのようなOS及び各種応用プログラムに対する最新セキュリティパッチ生活化すること。
2. 信頼出来るセキュリティ企業から提供するワクチンを最新エンジン及びパターンバージョンにアップデートして使って、必ずリアルタイム監視機能をいつも"ON" の状態に維持して使うようにすること。
3. メッセンジャ、SNSなどを通したリンク接続を注意すること。
4. SNS利用時に出所が不明なリンクの場合、接続に注意すること。
※ INCA Internet ERTeamでは上記のような不正なファイルについて検知/駆除機能を提供し、セキュリティへの脅威に備えてるために24時間対応しています。
◆ 検知名
- Exploit/W32.CVE-2012-0754.100436
- Exploit/W32.CVE-2012-0754.511604
- Exploit/W32.CVE-2012-0754.354436
- Exploit/W32.CVE-2012-0754.106604
- Exploit/W32.CVE-2012-0754.103028
- Exploit/W32.CVE-2012-0754.241236
- Exploit/W32.CVE-2012-0754.342664
- Exploit/W32.CVE-2012-0754.106576