站長資訊網(wǎng)概述
日前,360核心安全事業(yè)部高級威脅應(yīng)對團隊在全球范圍內(nèi)率先監(jiān)控到了一例使用0day漏洞的APT攻擊,捕獲到了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊,并將該漏洞命名為“雙殺”漏洞。該漏洞影響最新版本的IE瀏覽器及使用了IE內(nèi)核的應(yīng)用程序。用戶在瀏覽網(wǎng)頁或打開Office文檔時都可能中招,最終被黑客植入后門木馬完全控制電腦。對此,我們及時向微軟分享了該0day漏洞的相關(guān)細節(jié),并第一時間對該APT攻擊進行了分析和追蹤溯源,確認其與APT-C-06組織存在關(guān)聯(lián)。
圖:黑客整個攻擊流程
2018年4月18日,在監(jiān)控發(fā)現(xiàn)該攻擊活動后,360核心安全事業(yè)部高級威脅應(yīng)對團隊在當(dāng)天就與微軟積極溝通,將相關(guān)細節(jié)信息提交到微軟。微軟在4月20日早上確認此漏洞,并于5月8號發(fā)布了官方安全補丁,對該0day漏洞進行了修復(fù),并將其命名為CVE-2018-8174。在漏洞得到妥善解決后,360于5月9日發(fā)布本篇報告,對攻擊活動和0day漏洞進一步的技術(shù)披露。
中國受影響情況
根據(jù)360監(jiān)測到的數(shù)據(jù)來看,此次利用“雙殺”0day漏洞發(fā)動的攻擊影響地區(qū)主要集中在一些外貿(mào)產(chǎn)業(yè)活躍的重點省份,受害目標(biāo)主要是一些外貿(mào)企業(yè)單位和相關(guān)機構(gòu)。
APT組織情況
APT-C-06組織是一個長期活躍的境外APT組織,其主要目標(biāo)為中國和其他國家。攻擊活動主要目的是竊取敏感數(shù)據(jù)信息進行網(wǎng)絡(luò)間諜攻擊,其中DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一。
在針對中國地區(qū)的攻擊中,該組織主要針對政府、科研領(lǐng)域進行攻擊,且非常專注于某特定領(lǐng)域,相關(guān)攻擊行動最早可以追溯到2007年,至今還非常活躍。從掌握的證據(jù)來看該組織有可能是由境外政府支持的黑客團體或情報機構(gòu)。
該組織針對中國的攻擊時間已經(jīng)長達10年之久,攻擊使用的漏洞和后門技術(shù)在不斷演進中。根據(jù)我們2017年捕獲到的數(shù)據(jù)來看,該組織對我國的攻擊主要集中在某些外貿(mào)產(chǎn)業(yè)活躍的重點省份,主要對外貿(mào)易相關(guān)的機構(gòu)和關(guān)聯(lián)機構(gòu)為攻擊目標(biāo),進一步竊取相關(guān)的機密數(shù)據(jù),對目標(biāo)進行長期的監(jiān)控。
在十?dāng)?shù)年的網(wǎng)絡(luò)攻擊活動中,該組織多次利用0day漏洞發(fā)動攻擊,且使用的惡意代碼非常復(fù)雜,相關(guān)功能模塊達到數(shù)十種,涉及惡意代碼數(shù)量超過200個。2018年4月,360核心安全事業(yè)部高級威脅應(yīng)對團隊在全球范圍內(nèi)率先監(jiān)控到了該組織使用0day漏洞的APT攻擊,進而發(fā)現(xiàn)了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊。
360核心安全事業(yè)部高級威脅應(yīng)對團隊在捕獲到這一使用0day漏洞的APT攻擊后,第一時間向微軟進行了信息共享并披露了該漏洞細節(jié)。在5月8日微軟官方安全補丁發(fā)布后,我們發(fā)布本文對此次攻擊事件進行了詳實的披露與分析。
報告詳情參閱:http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系我們,本站將會在24小時內(nèi)處理完畢。
