影响我国外贸企业的“双杀”漏洞APT攻击,已被360全球首家捕获!

北京时间5月9日凌晨,微软发布新一轮安全更新,修复了浏览器高危“双杀”漏洞(CVE-2018-8174)。该漏洞影响最新版本的IE浏览器及使用IE内核的应用程序,且已被发现用于APT攻击,只要打开不法分子发送的恶意Office文档,就会成为被控制的肉鸡。

作为全球首家发现并向微软报告漏洞细节的安全厂商,360安全团队在官方补丁未发布之前紧急推进对该漏洞攻击的检测和防御,并配合微软安全团队火速推进该漏洞补丁的发布。在官方公告中,微软对360的贡献进行了公开致谢。迄今,360累计获得微软致谢已达263次,这一成绩在全球安全团队中遥遥领先。

图:微软官方致谢360安全团队

360安全专家介绍,“双杀”漏洞攻击是全球范围内首个使用浏览器0day漏洞的新型Office文档攻击。黑客通过投递内嵌恶意网页的Office文档的形式实施此次APT攻击,打开文档后,所有的漏洞利用代码和恶意荷载都通过远程的服务器加载。这种“嵌套”式的攻击方式,正是“双杀”漏洞得名的原因。

前期利用Office文档蒙混过关顺利的话,该攻击便会进行到后期“隐身”攻击阶段——使用公开的UAC绕过技术,并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载,试图借此躲避查杀。

图:黑客整个攻击流程

近年来,用户量庞大、看似安全无害Office文档已逐渐成为APT攻击最青睐的载体。打开搭载了“双杀”漏洞的恶意文档,恶意网页将在后台静默运行并执行攻击程序,用户甚至还未感知得到,设备就已经被控制,黑客可趁机进行植入勒索病毒、监听监控、窃取敏感信息等任意操作。

中国受影响情况

根据360监测到的数据来看,此次利用“双杀”0day漏洞发动的攻击影响地区主要集中在一些外贸产业活跃的重点省份,受害目标主要是一些外贸企业单位和相关机构。

APT组织情况

APT-C-06组织是一个长期活跃的境外APT组织,其主要目标为中国和其他国家。攻击活动主要目的是窃取敏感数据信息进行网络间谍攻击,其中DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。

在针对中国地区的攻击中,该组织主要针对政府、科研领域进行攻击,且非常专注于某特定领域,相关攻击行动最早可以追溯到2007年,至今还非常活跃。从掌握的证据来看该组织有可能是由境外政府支持的黑客团体或情报机构。

该组织针对中国的攻击时间已经长达10年之久,攻击使用的漏洞和后门技术在不断演进中。根据我们2017年捕获到的数据来看,该组织对我国的攻击主要集中在某些外贸产业活跃的重点省份,主要对外贸易相关的机构和关联机构为攻击目标,进一步窃取相关的机密数据,对目标进行长期的监控。

在十数年的网络攻击活动中,该组织多次利用0day漏洞发动攻击,且使用的恶意代码非常复杂,相关功能模块达到数十种,涉及恶意代码数量超过200个。2018年4月,360核心安全事业部高级威胁应对团队在全球范围内率先监控到了该组织使用0day漏洞的APT攻击,进而发现了全球首例利用浏览器0day漏洞的新型Office文档攻击。

360 全球首家捕获“双杀”漏洞

360安全研究人员在捕获到这一使用0day漏洞的APT攻击后,第一时间向微软进行了信息共享并披露了该漏洞细节。目前,360新一代终端安全管理系统已第一时间更新补丁库,请广大用户尽快打好补丁避免攻击。360安全专家提醒相关用户,请勿随意打开未知来路的office文档。同时,提醒各相关企、事业单位,警惕利用“双杀”漏洞发动的定向攻击,同时使用安全软件防御可能的漏洞攻击。

据悉,360天眼新一代威胁感知系统,能够针对APT等高级威胁的全生命周期各阶段进行全面、持续的检测,采用多种检测技术相结合的方式,帮助用户及时发现威胁并定位失陷主机,尽可能将影响降到最低。目前已发现了包括海莲花在内的数十个针对国内的APT组织。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180510A1PBNU00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券