日本最流行的字处理软件ichiaro和多产品爆出远程执行代码的0day。根据CVE-2013-5990的漏洞描述,恶意攻击者可以获得系统权限,等同于本地账户权限。这个漏洞是由于DOC文档里一个没有执行Hanlder的异常产生的。产品公司的官网博客已经对这次漏洞给予了确认。 与此同时,在2013年9月,赛门铁克防毒软件公司就已经对这个问题进行了确认,他们发现有攻击者利用此漏洞制造了后面下载木马,而且是一种Vidgrab变种后门木马。安全研究者在研究了Vidgrab变种后门木马以后,发现这种木马竟然曾经被用到水门攻击中。水门攻击是利用了微软IE的内存漏洞执行的(CNNVD-201309-304)。2013年10月,微软释放出补丁。 据研究发现,这种漏洞很可能出自同一个恶意软件制作组织,或者是一个与其有密切关联的组织。他们可能是利用IE漏洞和ichitaro漏洞的幕后主使。Vidgrab后门,攻击主要以亚太区域的政府为目标。 攻击者通过钓鱼形式散播恶意软件,常用手法就是在附件里附加扩展名为.jtd的Doc文档。而实际上这些文件其实只是txt格式和rtf格式的文档。这些附件通过微软的word文件是打不开的,它们是为ichiaro精心设计的后门漏洞程序。 据称,攻击者,很有可能属于ATP12组的,它们设计和制造了Vidgrab后门木马。他们有相似的持久化攻击目标。而且都是利用ichiaro的漏洞。