Morphisec警告称，有人利用香港电信公司网站进行攻击，攻击开始使用最近的Flash漏洞，该漏洞自2017年11月中旬以来一直被朝鲜利用。

韩国互联网与安全局（KISA）发布警告提到CVE-2018-4878漏洞，并表示漏洞被朝鲜黑客利用后，Adobe在一周内修补了漏洞。

Morphisec指出，最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。

由于新的攻击手法没有生成文件，也没有在硬盘中留下痕迹，因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议

安全研究人员指出：“一般来说，这种先进的水坑攻击本质上是高度针对性的，应该有一个非常先进的组织在进行支持。”

隐蔽性增强

这次攻击中使用的Flash漏洞与先前CVE-2018-4878漏洞分析中详述的漏洞非常相似，尽管他们使用了不同的shellcode。

攻击中的shellcode执行rundll32.exe并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到rundll32进程的内存中。

安全研究人员还发现，命令和控制（C&C）服务器通过443端口使用自定义协议与受害者进行通信。

下载到rundll32内存的附加代码包括Metasploit Meterpreter和Mimikatz模块。大多数模块在2月15日编译，攻击在不到一周的时间里开始。

尽管有这些先进的隐蔽功能，但这次攻击使用了基本的Metasploit框架组件，这些组件在攻击之前编译，并且没有混淆，这对攻击的溯源造成了困难。

Morphisec表示，这次攻击针对几周前的CVE-2018-4878，而攻击又来自具有国家背景的组织，这些都造成了某种似曾相识的感觉。

* 参考来源：SecurityWeek，作者Sphinx，转载注明来自Freebuf.COM