新闻资讯
全天北京pk赛车计划 > 新闻资讯 > 微软Word 0 - day遭到陌生人的积极利用
微软Word 0 - day遭到陌生人的积极利用
时间: 2018-06-17 浏览次数:20
几个月来被积极利用的一个关键的微软Wordzero-day将两个陌生的同床异梦者联系在一起,包括政府资助的黑客暗中监视俄罗斯目标,以及出于财务动机的

几个月来被积极利用的一个关键的微软Word zero - day将两个陌生的同床异梦者联系在一起,包括政府资助的黑客暗中监视俄罗斯目标,以及出于财务动机的骗子推着犯罪软件。进一步阅读野外陷阱Word文档利用关键的Microsoft 0 - day,安全公司FireEye的研究人员在周三进行的这一评估更加引人入胜,因为运送到俄罗斯目标的有效载荷是由Gamma Group开发的,该公司总部位于英国,是一家备受争议的向世界各国政府出售所谓合法拦截间谍软件的卖家。该公司在2014年遭受重大挫折,因为其服务器遭到黑客攻击,暴露了超过40g字节的高度专有数据,显示其软件被用于监视美国、德国、俄罗斯、伊朗和巴林的计算机。gamma Group自那以后一直在运作,周三的报告显示,其名为Finspy的软件早在1月份就已安装,使用的是Word中直到周二为止的零日漏洞。

更令人感兴趣的是,用于在俄罗斯计算机上安装间谍软件的“漏洞”一词与3月份用于安装犯罪软件的漏洞具有相同的数字指纹。这种恶意软件被称为plantbot,它拥有各种功能,包括凭据盗窃、硬盘和数据擦除、安全软件禁用和远程桌面功能。FireEye发现的共享文物(记录在这篇文章顶部的图片中)强烈表明,政府间谍和犯罪黑客使用的漏洞源自同一来源。这一发现将国家支持的黑客攻击和出于财务动机的网络犯罪联系起来。

1月25日,一份用来用芬间谍感染俄语目标的诱杀文字文件被发送。这是一份广为流传的军事手册的武器化版本,据称是由乌克兰自称支持俄罗斯的国家顿涅茨克人民共和国出版的,被乌克兰政府视为恐怖组织。利用此漏洞从位于IP地址95 . 141 . 38 . 110的服务器下载恶意有效负载和诱饵文档。火眼研究人员尚未确定目标。

用于安装plantbot的文档也使用社会工程来引诱目标打开它们。这四个文件是3月4日发送的,名为hire _ form . doc!!!!急!!!!读!!!。doc、PDP . doc和document . doc。它们都使用位于217 . 12 . 203 . 90的同一命令和控制服务器。周一,攻击背后的人改变了他们的行动,推出了另一个恶意软件包Terdot。它向185 . 77 . 129 . 103发送了一个信标,然后安装了使用Tor匿名服务隐藏其联系的服务器身份的软件。

进一步阅读用于将危险的Dridex恶意软件推送到百万人身上的微软Word 0 - day,几乎与此同时,攻击者开始利用Word漏洞安装称为Dridex的银行欺诈恶意软件。微软修补漏洞一天后,这项活动持续到周三。火眼研究人员仍然不确定提供Dridex有效载荷的漏洞的来源。研究人员说,有可能是漏洞披露提供了真知灼见,让攻击者能够找出如何利用漏洞,或者有可能是有机会利用漏洞的人在几天后发现补丁时泄露了漏洞。

目前还不清楚是谁开发了共享漏洞,该人或该组与Gamma组有什么联系。尽管如此,奇怪的同床异梦凸显了软件开发之间经常被忽视的相互关联。FireEye研究人员总结说:「虽然只观察到一个Finspy使用者利用这种零日利用,但几个民族国家所使用的Finspy的历史范围显示,其他客户也可以使用它。」此外,这一事件暴露了网络威胁的全球性质和全球视角的价值——针对俄罗斯人的网络间谍事件可以提供了解和阻截针对其他地方讲英语者的犯罪的机会。

Copyright © 2017 全天北京pk赛车计划 版权所有