FireEye：伊朗黑客组织APT34利用已知漏洞开展网络间谍活动

“用指尖改变世界”

在上个月14日，微软发布了11月份的安全补丁更新，其中最引人关注的莫过于修复了潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)。

该漏洞由Embedi研究小组发现，漏洞存在于EQNEDT32.EXE组件中。它是一个公式编辑器，允许用户将Office文档中的数学公式作为动态OLE对象进行嵌入。

微软最初在office 2000中引入了EQNEDT32.EXE，并在 office 2007之后发布的所有版本中对其进行了保留，用以解决在新版软件中打开采用旧版软件编写的文档时涉及到的兼容性问题。

这种情况使得攻击者能够利用CVE-2017-11882，在目前发布的所有版本的Windows系统上且在无需任何用户交互的情况下远程执行恶意代码。

在微软发布CVE-2017-11882补丁不到一周之后，安全公司FireEye的研究团队发现，在一起针对中东政府组织的攻击活动中该漏洞被实际利用。

FireEye怀疑这起活动的幕后操纵者是伊朗黑客组织APT34，该组织使用了一个特制的PowerShell后门来实现其目标。

APT34被认为是一个为伊朗的国家利益服务的黑客组织，主要侧重于网络间谍活动，至少从2014年开始就一直处于活跃状态。这个组织已经广泛地针对各个行业，包括金融、政府、能源、化工和电信，并且主要集中在中东地区。

FireEye发现，APT34在活动中通过网络钓鱼邮件来分发恶意的.rtf文件，而这个恶意文件被证实利用了CVE-2017-11882。恶意软件用来自EQNEDT32.EXE的现有指令地址覆盖功能地址，用于调用kernel32.dll中的“WinExec”函数。

在成功调用“WinExec”函数后，会在当前登录用户的上下文中创建子进程“mshta.exe”，用于从mumbai-m.site/b.txt下载恶意脚本并执行它。最终，恶意脚本会与命令和控制(C2)服务器建立连接。

C2服务器会发送PowerShell命令来捕获和存储受害者系统的屏幕截图，并能够从受害者系统收集主机信息。这可能包括有关当前登录用户名、主机名、网络配置数据、活动连接、进程信息、本地和域管理员帐户、用户目录列举以及其他数据的信息。

APT34最近的活动表明，它是一个有潜力且有能力获取自身发展资源的黑客组织。在过去几个月中，APT34已经能够迅速将至少两个公开的漏洞(CVE-2017-0199和CVE-2017-11882)运用到针对中东地区组织的活动中来。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。