Morphisec 公司警告称,最近攻击一家香港电信公司网站所利用的是曾被朝鲜黑客组织自2017年11月中旬就已利用的已修复 Flash 漏洞。
这个漏洞的编号是 CVE-2018-4878,韩国互联网安全局 (KISA) 发布警报称该漏洞遭一个朝鲜黑客组织利用后出现在公众面前。Adobe 公司在一周内将其修复。
攻击堪称教科书级别
2月底,网络犯罪分子已经在滥用该漏洞。Morphisec公司指出最近利用该漏洞发动的攻击是教科书级别的水坑式攻击案例。水坑式攻击主要关注网络间谍目标,攻击者将恶意软件植入受害者可能访问的网站上。
这次针对香港某电信公司的攻击显示出了高阶的躲避性质,因为它是无文件攻击,不具备持续性,也未在磁盘上留下任何痕迹。研究人员认为它是高度针对性攻击链的完美垫脚石。另外,它在未过滤端口上使用了一个自定义协议。
研究人员指出,一般而言,这种高阶水坑式攻击具有高针对性而且通常由非常高阶的组织实施。这次攻击中所使用的 Flash 利用代码和对 CVE-2018-4878 漏洞的详细分析非常相似,尽管前者利用后执行的是不同的 shellcode。
这个 shellcode 执行 rundll32.exe 并用恶意代码覆写其内存。这个恶意代码旨在直接将额外代码下载到 rundll32 进程的内存中。
研究人员还发现 C&C 服务器使用443端口上的自定义协议和受害者通信。
被自动下载到 rundll32 内存中的额外代码包括 Metasploit Meterpreter 和 Mimikatz 模块。多数模块是在2月15日编译的,也就是攻击发生的不到前一周的时间。
攻击者尚不明确
尽管这次攻击具有高阶躲避特征,但它使用了在攻击发动前编译的基础 Metasploiot 框架组件,并且缺乏复杂性、混淆性或躲避性,这导致很难将攻击归属于某个行动者。
Morphisec公司表示,被升级以攻击 CVE-2018-4878 的利用包、攻击发生在一周前、漏洞遭国家黑客组织利用都让人有似曾相识的感觉。该公司指出,就像是两三年前,每周都会发现针对某个具体漏洞的新型利用代码那样。每种利用代码都各不相同且足以在最重要的初次接触时躲避检测,而安全解决方案总是忙不迭地紧紧追赶。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。