360全球首個發現國家級0day攻擊 “毒針”行動瞄準俄總統事務管理局 俄總統事務管理局遭APT攻擊 360溯...
2018年11月25日,烏俄兩國又突發了“刻赤海峽”事件,烏克蘭的數艘海軍軍艦在向刻赤海峽航行期間,與俄羅斯海軍發生了激烈衝突,引發了全世界的高度關注。四天後,360安全大腦在全球範圍內第一時間發現了一起針對俄羅斯的APT攻擊行動。值得注意的是此次攻擊相關樣本來源於烏克蘭,攻擊目標則指向俄羅斯聯邦總統事務管理局所屬的醫療機構。攻擊者精心準備了一份俄文內容的員工問卷文件,該文件使用了最新的Flash 0day漏洞(cve-2018-15982)和帶有自毀功能的專屬木馬程式進行攻擊。在發現攻擊後,我們第一時間將0day漏洞的細節報告了Adobe官方,Adobe官方及時響應後在12月5日加急釋出了新的Flash 32.0.0.101版本修復了此次的0day漏洞,並在官網致謝360團隊。
攻擊方不惜代價要攻下目標,但同時又十分小心謹慎
從攻擊過程看,攻擊者通過投遞rar壓縮包發起攻擊,當受害者開啟壓縮包內的問卷文件後,將會播放Flash 0day檔案。觸發漏洞後, winrar解壓程式將會操作壓縮包內檔案,執行最終的PE荷載backup.exe。
360安全大腦經過漏洞分析發現,利用程式碼藉助uaf漏洞,可以實現任意程式碼執行。從最終荷載分析發現, PE荷載是一個經過VMP強加密的後門程式,通過解密還原,我們發現主程式主要功能為建立一個視窗訊息迴圈,有8個主要功能執行緒,其中包括定時自毀執行緒。
漏洞文件攻擊過程
播放Flash 0day漏洞
目前我們還無法確定攻擊者的動機和身份,或有政治意圖
按照被攻擊醫療機構的網站(http://www.p2f.ru) 介紹,該醫療機構成立於1965年,創始人是俄羅斯聯邦總統辦公室,是專門為俄羅斯聯邦最高行政、立法、司法當局的工作人員、科學家和藝術家提供服務的專業醫療機構。由於這次攻擊屬於360在全球範圍內的首次發現,結合被攻擊目標醫療機構的職能特色,我們將此次APT攻擊命名為“毒針”行動。目前我們還無法確定攻擊者的動機和身份,但該醫療機構的特殊背景和服務的敏感人群,使此次攻擊表現出了明確的定向性,同時攻擊發生在“刻赤海峽”危機的敏感時段,也為攻擊帶上了一些未知的政治意圖。
近年來,烏克蘭和俄羅斯兩國之間圍繞領土問題的爭執不斷,發生了克里米亞半島問題、天然氣爭端、烏克蘭東部危機等事件。伴隨著兩國危機事件愈演愈烈之時,在網路空間中發生的安全事件可能比現實更加激烈。2015年聖誕節期間烏克蘭國家電力部門受到了APT組織的猛烈攻擊,使烏克蘭西部的 140 萬名居民在嚴寒中遭遇了大停電的煎熬,城市陷入恐慌損失慘重,而相應的俄羅斯所遭受的APT攻擊,外界卻極少有披露。
詳細報告,請參閱如下連結:
http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html