为了干掉战斗民族，它使出了自爆的0day漏洞

曾经一奶同胞的铁哥们儿，如今却反目成仇！

俄罗斯和乌克兰都曾经是苏联的加盟国，自打2014年发生克里米亚危机后，这原本“哥俩好”的两国关系迅速降至冰点，双方曾一度剑拔弩张。

这不，直到现在这俩倒霉兄弟也没消停着——11月25日，乌克兰海军三艘军舰穿越俄罗斯边境向刻赤海峡航行。对峙期间，俄罗斯船只向乌克兰军舰开火并将其扣押，这正是轰动一时的“刻赤海峡”事件。

事发后，就在大家以为在国际压力下，两国将进行协商而平息矛盾的时候，乌克兰国却突然宣布进入全面战备状态。死对头亮剑，俄罗斯哪能甘拜下风？随后，俄罗斯便在克里米亚半岛部署了第4个S-400“凯旋”防空导弹营，两国之战一触即发。

更有媒体猜测，此次事件似乎是乌克兰现任总理波罗申科为赢得新一届总统选举有意为之：为了让事件第一次就能炸雷，波罗申科愣是在G20峰会前几天自造“刻赤海峡事件”，使得美国总统特朗普被迫取消了原定在峰会上与普京的会晤。

美国：作，继续作，俩倒霉玩意儿~

然而......还没完！12月4日，雷锋网获悉360高级威胁应对团队于11月29日在全球范围第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是，此次攻击相关样本来源于乌克兰，攻击目标则直指俄罗斯联邦总统事务管理局。

又作？接到消息后，八卦的雷锋网 (公众号：雷锋网) 赶紧找到好朋友360集团助理总裁郑文彬聊了聊，对此次APT攻击事件的来龙去脉做了个全面了解。

玩儿“自毁”的Flash 0day漏洞

此次APT（高级持续性威胁）攻击被360称作“毒针”行动，行动以一份使用了最新Flash 0day漏洞cve-2018-15982和带有自毁功能专属木马程序的俄文内容员工问卷文档为开端，攻击过程主要分为三个阶段：

1>攻击者通过投递rar压缩包发起攻击，打开压缩包内的诱饵文档就会中招；

漏洞文档攻击过程

2>当受害者打开员工问卷文档后，将会播放Flash 0day文件；

播放Flash 0day漏洞

3>触发漏洞后，winrar解压程序将会操作压缩包内文件，执行最终的PE荷载backup.exe；

漏洞执行进程树

不过，这Flash 0day漏洞究竟有何神通竟被选中对具备极高敏感度的俄罗斯联邦总统事务管理局展开攻击？

原来，此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞。利用代码借助该漏洞，可以实现任意代码执行。从最终荷载分析发现， PE荷载是一个经过VMP强加密的后门程序。解密后发现，主程序主要功能为创建一个窗口消息循环，有8个主要功能线程，其中包括定时自毁线程。

也就是说，这玩意儿它带“自毁”功能。

郑文彬告诉雷锋网，此次攻击木马的定时自毁线程可以在完成攻击任务之后将电脑中存留的木马病毒、日志以及存留的痕迹全部销毁。实际上，360安全大脑发现漏洞的过程就像在做拼图游戏，最终目的正是将极度碎片化的样本通过反推来逐渐还原。”

由此来看，由于攻击本身具备自毁属性，此次360安全大脑在发现漏洞的过程中其操作难度自然也会增加不少。

不是首次？APT攻击早有源头

11月29日下午，360安全大脑所属QEX团队和高级威胁沙箱团队分别通过应对高级威胁的探针技术，云端沙箱首次探测到Flash 0Day漏洞。随后，追日团队对该样本漏洞进行了分析溯源并还原了攻击全貌，最终将其确定为一起针对俄罗斯的APT攻击行动。

漏洞文档内容

据郑文彬分析，利用UAF漏洞，攻击者通过强制GC获得一个垂悬指针进行多次UAF实现任意地址读写绕过ASLR，最后借助HackingTeam泄露代码中的方式绕过DEP/CFG，执行shellcode。

也就是说，此次发起APT攻击的攻击者很可能是个“惯犯”，而上一次遭殃的正是这家名为HackingTeam的意大利军火商。

作为为数不多的几家向全世界执法机构出售监控 工具 的公司之一，Hacking Team帮助政府针对新闻记者、激进分子、政府中的反对派以及其他对政府可能造成的威胁因素进行入侵和监控。

2015年7月，该公司遭黑客攻击，旗下大量网络武器和攻击工具泄露，黑客利用其flash漏洞进行大规模挂马传播，总传播量上百万，对整个互联网安全构成严重威胁。

Hacking Team被攻击 大量信息遭泄露

郑文彬告诉雷锋网，此类攻击的目标很少，一般集中在国家机构，但引起的危害就如同蝴蝶效应一般，会引发巨大风暴。

举个例子，2015年圣诞节期间，乌克兰国家电力部门遭受了APT攻击，乌克兰西部140万名居民在严冬遭遇大规模停电事故，城市陷入一片恐慌。

可见，跨国APT攻击事件若没有被及时发现并制止，其后果不堪设想。

那么，此次APT攻击事件的背后，攻击者的目的又是什么呢？

据该机构的官网信息显示，被攻击机构所属俄罗斯联邦总统事务管理局，是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。

虽然目前还无法确定攻击者的动机和身份，但考虑到该医疗机构的特殊背景和服务的敏感人群，这也使此次攻击表现出了一些定向性。

该医院机构介绍

值得庆幸的是，攻击事件发生后，360第一时间将0day漏洞的细节报告了Adobe官方。12月5日，Adobe官方加急发布了Flash 32.0.0.101版本修复了此次的0day漏洞并致谢360团队。

网友：忙帮了，Adobe不给点奖励？

发现漏洞后，360选择最先在微博上公开此次监测的详细过程。截止今日，已经有大批网友留言评论，其内容可谓是脑洞大开。

而采访过程中，雷锋网也从中挑选出两条问题来询问了郑文彬：

微博昵称为@钢冰水火的网友：“忙也帮了，Adobe 就不考虑给点儿奖励吗？”

郑文彬：我觉得这是分两面的，首先360自己会发现很多漏洞去反馈给厂商，各别厂商会设立相应奖励计划；另外，如果漏洞已被黑客利用，这种情况属于0Day漏洞已被攻击，危险等级也会提高，一经发现厂商将更加重视；

微博昵称为@不返之六号归复者：“美国的两线进攻？我猜老美背后操刀的可能性有85%。”

郑文彬：对于没有数据支撑的个人推测是不可信的，360完全通过现有样本来分析相关证据，进而确定此次APT攻击事件的指向，目前尚不能确定具体的攻击者身份或者攻击者的明确意图。

实际上，漏洞被发现并曝光之后不光对厂商起到了预警效果，同时也会使得攻击计划暂时搁浅或者不再执行，这也为阻止APT攻击事件持续发酵起到了积极作用。

“以人工智能技术为支撑，360安全大脑已经实现在百亿级样本中追踪高级威胁攻击，这将为复杂的网络系统铸造一堵攻不破的“防火墙”。”

你认为此次APT攻击是否与“刻赤海峡”事件有着必然联系呢？对于此次APT攻击行动你又有怎样的独到见解呢？快在文末留言分享给大家吧！

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。