Фахівці Symantec виявили шкідливі файли Riht Text Format (.rtf або .doc), які могли принести шкоду будь-кому, хто цікавився результатами розширеної зустрічі міністрів оборони країн Асоціації Держав Південно-східної Азії (АСЕАН, англ. Association of SouthEast Asian Nations). У зустрічі взяли участь 18 країн АСЕАН, а також Австралія, Китай, Індія, Японія, Корея, Нова Зеландія, Росія і США. Захід пройшов 21-23 липня на індонезійському острові Балі.
Файл RTF намагається експлуатувати уразливість Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158), щоб завантажити безпечний документ MS Word і одночасно створити бекдор. Вміст цього документа MS Word наведено нижче.
У документі містяться номери телефонів, факсів, а також електронні адреси службовців, які мають безпосереднє відношення до оборони по кожній з країн. Підтвердити, чи є контакти реальними або підробкою, не представляється можливим, але деякі з наведених телефонів дійсно можна знайти на офіційних сайтах. Список доменів електронної пошти, які використовуються в даному документі, включає:
- mindef.gov.bn (Бруней);
- kemhan.go.id (Індонезія);
- mod.gov.my (Малайзія);
- dnd.gov.ph (Філіппіни);
- starnet.gov.sg (Сінгапур);
- mofa.gov.vn (В'єтнам);
- defence.gov.au (Австралія);
- defence.govt.nz (Нова Зеландія);
- mod.go.jp (Японія);
- korea.kr (Корея);
- osd.mil (США).
На жаль, на даний момент фахівцям не вдалося відстежити походження документа. Однак використання тієї ж уразливості раніше вже було виявлено Symantec: З Росії з Тибетом: Backdoor.Trojan. Файл бекдор завантажується під ім'ям “iexplore.exe” в тимчасову папку, а в папку «Автозавантаження» розміщується ярлик на нього, що призводить до запуску шкідливої програми, коли користувач входить на скомпрометований комп'ютер. Бекдор підключається до наступних доменам:
- hipuc.vicp.cc;
- hipcp.oicp.net.
Ці домени асоційовані з IP-адреси серверів, розташованих в Китаї (222.172.135.xxx).
Продукти Symantec визначають цей RTF-файл і створюваний ним бекдор як Trojan.Dropper і Backdoor.Trojan відповідно.
