日本企業が影響を受けた VBA の脆弱性を悪用する標的型攻撃

米国 Symantec の公式 Blog によると、2012年7月の Microsoft 月例パッチに含まれる脆弱性が悪用されているそうだ。

3月の中ごろから、「Microsoft Visual Basic for Applications」の DLL ロードで任意のコードが実行される脆弱性（CVE-2012-1854）を悪用する悪質なファイルを添付した電子メールが、標的ごとにカスタマイズされ、送信されている、という。添付のアーカイブファイルには、正常な Microsoft Word ファイルと、悪質な DLL（ダイナミックリンクライブラリ）ファイルが格納されている。

同社では、メールに添付ファイルやリンクが含まれている場合、また、DLL ファイルが添付されているときは厳重警戒するよう、注意を喚起している。DLL ファイルは通常、メールで送られてくるようなファイルではないからだ。

これまでのところ攻撃は限定的だが、影響を受けているのはほとんどが日本の企業だという。

脆弱性は、Visual Basic for Applications の DLL ファイルのロード処理方法に関係するもので、攻撃者はリモートでコードを実行、コンピュータを危殆化できる。

脆弱性を悪用するには、.doc ファイルなど任意の Word ドキュメントを作成し、特別に細工された Imeshare.dll という名前のマルウェアを同じフォルダ内に格納する。Word ファイルには問題はなく、標的となる組織で実際に使われている正規のファイルの場合も、外部の契約業者から受け取る一般的なファイルの場合もある。

問題は DLL ファイルで、脆弱性を悪用するように特別に開発されている。悪質な添付ファイルの内容は以下の図を参照。Word 文書のファイル名は任意だが、DLL ファイルの名前は常に同じ。



図の例では、アーカイブに zip ファイル形式が使われているが、任意のアーカイブタイプを使うことができる。これまで、zip ファイル形式と LZH アーカイブが確認されている。

アーカイブを確認すれば DLL ファイルにすぐ気づくが、いったん解凍すると、隠しファイルに設定されているため、ユーザーが見落としてしまう恐れがある。これは、Windows XP などで［隠しファイルおよび隠しフォルダを表示しない］などが選択されていると、ファイルを解凍したときに Word ファイルしか見えないからだ。

Imeshare.dll という名前のファイルには、Trojan Horse、Trojan.Dropper、Backdoor.Trojan、Backdoor.Darkmoon など何種類ものマルウェアが見つかっているという。