火眼(FireEye)于周六披露了一个有针对性的攻击活动,俄罗斯威胁组织APT28利用2个0day漏洞入侵了某垂直行业跨国政府机构。
APT28组织成员都是高级开发人员和黑客,主要搜集一些和国防、地缘政治有关的情报,当然都是一些有利于俄罗斯方面的情报。
该组织发动的攻击活动应始于2007年,而火眼公司却在2015年4月13日才首次发现他们的攻击活动。 此次攻击利用的2个0day漏洞分别为Adobe Flash (CVE-2015-3043) 和微软Windows CVE-2015-1701: 前者之前已经被修复,后者正在修复中,值得一提的是这些漏洞对Windows 8及其之后的版本没有影响。
通过对此次攻击活动的中使用的攻击技术和C&C基础设施的分析,可以推测幕后一定是APT28(也被称之为Operation RussianDoll)。
CVE-2015-3043漏洞利用程序会释放一个恶意程序变种,其特性与APT28的CHOPSTICK后门、 CORESHELL恶意程序家族很类似,所以FireEye研究人员断定此次攻击的幕后操作者一定是APT28。
“新payload使用的C2地址为87.236.215[.]246,而APT28的一个ssl-icloud[.]com域名也是使用的这个C2地址。”
具体报告细节
尽管黑客利用了2个0day漏洞,但他们还是没能成功入侵到目标组织中。火眼公司称他们及时发现了该漏洞的植入过程,所以该攻击行为就被成功制止了。
攻击过程如下:
1.用户访问受攻击者控制的恶意网站 2.HTML/JS启动页面带有漏洞的Flash 3.Flash触发CVE-2015-3043漏洞,执行shellcode 4.Shellcode下载并运行payload 5.Payload利用本地权限提升漏洞CVE-2015-1701窃取系统令牌
虽然微软还未修复CVE-2015-1701漏洞,但该攻击的成功实施必须通过CVE-2015-1701和CVE-2015-3043合作才能完成,所以你只需更新CVE-2015-3043同样也可以避免。
另外,如果攻击者想利用CVE-2015-1701漏洞,他们必须先在受害者设备上执行恶意代码。但怎样才能获得授权在受害者设备上执行代码呢?这就需要另辟蹊径了,比如,创建一个新的Flash漏洞利用程序,释放一个新的CVE-2015-1701payload。
APT28真的和俄罗斯政府有关系吗?Trend Micro的高级威胁研究员 Feike Hacquebord认为:
“我们发现这个小组会攻击俄罗斯异见分子、反政府人员、乌克兰激进分子和军方。从这些信息上看APT28可能与俄罗斯政府有关联。”
* 参考来源 securityweek ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)