站長資訊網概述
日前,360核心安全事業部高級威脅應對團隊在全球范圍內率先監控到了一例使用0day漏洞的APT攻擊,捕獲到了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊,并將該漏洞命名為“雙殺”漏洞。該漏洞影響最新版本的IE瀏覽器及使用了IE內核的應用程序。用戶在瀏覽網頁或打開Office文檔時都可能中招,最終被黑客植入后門木馬完全控制電腦。對此,我們及時向微軟分享了該0day漏洞的相關細節,并第一時間對該APT攻擊進行了分析和追蹤溯源,確認其與APT-C-06組織存在關聯。
圖:黑客整個攻擊流程
2018年4月18日,在監控發現該攻擊活動后,360核心安全事業部高級威脅應對團隊在當天就與微軟積極溝通,將相關細節信息提交到微軟。微軟在4月20日早上確認此漏洞,并于5月8號發布了官方安全補丁,對該0day漏洞進行了修復,并將其命名為CVE-2018-8174。在漏洞得到妥善解決后,360于5月9日發布本篇報告,對攻擊活動和0day漏洞進一步的技術披露。
中國受影響情況
根據360監測到的數據來看,此次利用“雙殺”0day漏洞發動的攻擊影響地區主要集中在一些外貿產業活躍的重點省份,受害目標主要是一些外貿企業單位和相關機構。
APT組織情況
APT-C-06組織是一個長期活躍的境外APT組織,其主要目標為中國和其他國家。攻擊活動主要目的是竊取敏感數據信息進行網絡間諜攻擊,其中DarkHotel的活動可以視為APT-C-06組織一系列攻擊活動之一。
在針對中國地區的攻擊中,該組織主要針對政府、科研領域進行攻擊,且非常專注于某特定領域,相關攻擊行動最早可以追溯到2007年,至今還非常活躍。從掌握的證據來看該組織有可能是由境外政府支持的黑客團體或情報機構。
該組織針對中國的攻擊時間已經長達10年之久,攻擊使用的漏洞和后門技術在不斷演進中。根據我們2017年捕獲到的數據來看,該組織對我國的攻擊主要集中在某些外貿產業活躍的重點省份,主要對外貿易相關的機構和關聯機構為攻擊目標,進一步竊取相關的機密數據,對目標進行長期的監控。
在十數年的網絡攻擊活動中,該組織多次利用0day漏洞發動攻擊,且使用的惡意代碼非常復雜,相關功能模塊達到數十種,涉及惡意代碼數量超過200個。2018年4月,360核心安全事業部高級威脅應對團隊在全球范圍內率先監控到了該組織使用0day漏洞的APT攻擊,進而發現了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊。
360核心安全事業部高級威脅應對團隊在捕獲到這一使用0day漏洞的APT攻擊后,第一時間向微軟進行了信息共享并披露了該漏洞細節。在5月8日微軟官方安全補丁發布后,我們發布本文對此次攻擊事件進行了詳實的披露與分析。
報告詳情參閱:http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
