内容简介:2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。四天后,360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档使用了最新的Flash 0day漏洞(cve-2018-15982)和带有自毁功能的专属木马程序进行攻击。在发现攻击后,我们第一时间
2018年11月25日,乌俄两国又突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突,引发了全世界的高度关注。四天后,360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档使用了最新的Flash 0day漏洞(cve-2018-15982)和带有自毁功能的专属木马程序进行攻击。在发现攻击后,我们第一时间将0day漏洞的细节报告了Adobe官方,Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞,并在官网致谢360团队。
攻击方不惜代价要攻下目标,但同时又十分小心谨慎
从攻击过程看,攻击者通过投递rar压缩包发起攻击,当受害者打开压缩包内的问卷文档后,将会播放Flash 0day文件。触发漏洞后, winrar解压程序将会操作压缩包内文件,执行最终的PE荷载backup.exe。
360安全大脑经过漏洞分析发现,利用代码借助uaf漏洞,可以实现任意代码执行。从最终荷载分析发现, PE荷载是一个经过VMP强加密的后门程序,通过解密还原,我们发现主程序主要功能为创建一个窗口消息循环,有8个主要功能线程,其中包括定时自毁线程。
漏洞文档攻击过程
播放Flash 0day漏洞
目前我们还无法确定攻击者的动机和身份,或有政治意图
按照被攻击医疗机构的网站(http://www.p2f.ru) 介绍,该医疗机构成立于1965年,创始人是俄罗斯联邦总统办公室,是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。由于这次攻击属于360在全球范围内的首次发现,结合被攻击目标医疗机构的职能特色,我们将此次APT攻击命名为“毒针”行动。目前我们还无法确定攻击者的动机和身份,但该医疗机构的特殊背景和服务的敏感人群,使此次攻击表现出了明确的定向性,同时攻击发生在“刻赤海峡”危机的敏感时段,也为攻击带上了一些未知的政治意图。
近年来,乌克兰和俄罗斯两国之间围绕领土问题的争执不断,发生了克里米亚半岛问题、天然气争端、乌克兰东部危机等事件。伴随着两国危机事件愈演愈烈之时,在网络空间中发生的安全事件可能比现实更加激烈。2015年圣诞节期间乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌损失惨重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。
详细报告,请参阅如下链接:
http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 黑客窃取了美国边境管理局的生物识别信息数据库,这也提醒我们,是时候重视“个人生物信息”的保护了!
- 十大黑客武器很可怕:没水没电,下一步总统下台
- 十大黑客武器很可怕:没水没电,下一步总统下台
- 【安全帮】手机充电时自动订总统套房,真的是被植入后门了吗?
- “毒针”行动 - 针对“俄罗斯总统办所属医疗机构”发起的 0day 攻击
- 一上台就紧张?这个模型帮你生成演讲「替身」,肢体语言比总统候选人还丰富
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
UNIX 时间戳转换
UNIX 时间戳转换
HSV CMYK 转换工具
HSV CMYK互换工具