【行業應用】360全球首家發現使用Adobe Flash 0day漏洞的國家級網絡攻擊行動(轉)

  人氣:666   發布時間:2018-12-06 10:10:00 【
360全球首個發現國家級0day攻擊 “毒針”行動瞄準俄總統事務管理局

俄總統事務管理局遭APT攻擊 360溯源攻擊樣本來自烏克蘭

2018年11月25日,烏俄兩國又突發了“刻赤海峽”事件,烏克蘭的數艘海軍軍艦在向刻赤海峽航行期間,與俄羅斯海軍發生了激烈沖突,引發了全世界的高度關注。四天后,360安全大腦在全球范圍內第一時間發現了一起針對俄羅斯的APT攻擊行動。值得注意的是此次攻擊相關樣本來源于烏克蘭,攻擊目標則指向俄羅斯聯邦總統事務管理局所屬的醫療機構。攻擊者精心準備了一份俄文內容的員工問卷文檔,該文檔使用了最新的Flash 0day漏洞(cve-2018-15982)和帶有自毀功能的專屬木馬程序進行攻擊。在發現攻擊后,我們第一時間將0day漏洞的細節報告了Adobe官方,Adobe官方及時響應后在12月5日加急發布了新的Flash 32.0.0.101版本修復了此次的0day漏洞,并在官網致謝360團隊。


攻擊方不惜代價要攻下目標,但同時又十分小心謹慎


從攻擊過程看,攻擊者通過投遞rar壓縮包發起攻擊,當受害者打開壓縮包內的問卷文檔后,將會播放Flash 0day文件。觸發漏洞后, winrar解壓程序將會操作壓縮包內文件,執行最終的PE荷載backup.exe。

360安全大腦經過漏洞分析發現,利用代碼借助uaf漏洞,可以實現任意代碼執行。從最終荷載分析發現, PE荷載是一個經過VMP強加密的后門程序,通過解密還原,我們發現主程序主要功能為創建一個窗口消息循環,有8個主要功能線程,其中包括定時自毀線程。



漏洞文檔攻擊過程


播放Flash 0day漏洞


目前我們還無法確定攻擊者的動機和身份,或有政治意圖


按照被攻擊醫療機構的網站(http://www.p2f.ru) 介紹,該醫療機構成立于1965年,創始人是俄羅斯聯邦總統辦公室,是專門為俄羅斯聯邦最高行政、立法、司法當局的工作人員、科學家和藝術家提供服務的專業醫療機構。由于這次攻擊屬于360在全球范圍內的首次發現,結合被攻擊目標醫療機構的職能特色,我們將此次APT攻擊命名為“毒針”行動。目前我們還無法確定攻擊者的動機和身份,但該醫療機構的特殊背景和服務的敏感人群,使此次攻擊表現出了明確的定向性,同時攻擊發生在“刻赤海峽”危機的敏感時段,也為攻擊帶上了一些未知的政治意圖。

近年來,烏克蘭和俄羅斯兩國之間圍繞領土問題的爭執不斷,發生了克里米亞半島問題、天然氣爭端、烏克蘭東部危機等事件。伴隨著兩國危機事件愈演愈烈之時,在網絡空間中發生的安全事件可能比現實更加激烈。2015年圣誕節期間烏克蘭國家電力部門受到了APT組織的猛烈攻擊,使烏克蘭西部的 140 萬名居民在嚴寒中遭遇了大停電的煎熬,城市陷入恐慌損失慘重,而相應的俄羅斯所遭受的APT攻擊,外界卻極少有披露。

詳細報告,請參閱如下鏈接:http://blogs.#/post/PoisonNeedles_CVE-2018-15982.html



本文來源于網站建設,網站制作,網站設計,網站開發,網頁設計,建站公司,做網站,響應式,高端定制建站公司【圖盛科技】

[返回]

免費咨詢

  • 張小姐: QQ
  • 姚經理: QQ
  • 周先生: QQ
  • 13580784249
试机号后分析汇总牛材网