FireEye:APT28利用0day漏洞组合向跨国政府机构发动针对性攻击

2015-04-21 151220人围观 ,发现 8 个不明物体 资讯

火眼(FireEye)于周六披露了一个有针对性的攻击活动,俄罗斯威胁组织APT28利用2个0day漏洞入侵了某垂直行业跨国政府机构。

APT28:专攻军事机构和情报部门

APT28组织成员都是高级开发人员和黑客,主要搜集一些和国防、地缘政治有关的情报,当然都是一些有利于俄罗斯方面的情报。

该组织发动的攻击活动应始于2007年,而火眼公司却在2015年4月13日才首次发现他们的攻击活动。此次攻击利用的2个0day漏洞分别为Adobe Flash (CVE-2015-3043) 和微软Windows CVE-2015-1701:前者之前已经被修复,后者正在修复中,值得一提的是这些漏洞对Windows 8及其之后的版本没有影响。

FireEye断定此次攻击者为APT28

通过对此次攻击活动的中使用的攻击技术和C&C基础设施的分析,可以推测幕后一定是APT28(也被称之为Operation RussianDoll)。

CVE-2015-3043漏洞利用程序会释放一个恶意程序变种,其特性与APT28的CHOPSTICK后门、 CORESHELL恶意程序家族很类似,所以FireEye研究人员断定此次攻击的幕后操作者一定是APT28。

“新payload使用的C2地址为87.236.215[.]246,而APT28的一个ssl-icloud[.]com域名也是使用的这个C2地址。”

具体报告细节

攻击过程

尽管黑客利用了2个0day漏洞,但他们还是没能成功入侵到目标组织中。火眼公司称他们及时发现了该漏洞的植入过程,所以该攻击行为就被成功制止了。

攻击过程如下:

1.用户访问受攻击者控制的恶意网站
2.HTML/JS启动页面带有漏洞的Flash
3.Flash触发CVE-2015-3043漏洞,执行shellcode
4.Shellcode下载并运行payload
5.Payload利用本地权限提升漏洞CVE-2015-1701窃取系统令牌

攻击难度高,防御相对容易

虽然微软还未修复CVE-2015-1701漏洞,但该攻击的成功实施必须通过CVE-2015-1701和CVE-2015-3043合作才能完成,所以你只需更新CVE-2015-3043同样也可以避免。

另外,如果攻击者想利用CVE-2015-1701漏洞,他们必须先在受害者设备上执行恶意代码。但怎样才能获得授权在受害者设备上执行代码呢?这就需要另辟蹊径了,比如,创建一个新的Flash漏洞利用程序,释放一个新的CVE-2015-1701payload。

APT28与俄罗斯政府有关吗?

APT28真的和俄罗斯政府有关系吗?Trend Micro的高级威胁研究员 Feike Hacquebord认为:

“我们发现这个小组会攻击俄罗斯异见分子、反政府人员、乌克兰激进分子和军方。从这些信息上看APT28可能与俄罗斯政府有关联。”

* 参考来源securityweek,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 8 条评论

取消
Loading...
css.php