APT28使用两个零日漏洞入侵他国政府机关

简介: 本文讲的是 APT28使用两个零日漏洞入侵他国政府机关,去年曝光的俄罗斯黑客组织APT28,被发现者火眼公司描述为一个技术高超的收集国防和地理政治情报的并由俄罗斯政府支持的网络间谍活动小组。

本文讲的是 APT28使用两个零日漏洞入侵他国政府机关,去年曝光的俄罗斯黑客组织APT28,被发现者火眼公司描述为一个技术高超的收集国防和地理政治情报的并由俄罗斯政府支持的网络间谍活动小组。近日,火眼公司又披露了该小组的一些详细信息。

火眼声称,于4月13日检测到了该小组发起的攻击使用了两个零日漏洞,包括一个Flash漏洞(CVE-2015-3043)和一个Windows漏洞(CVE-2015-1701)。通过对其C2(命令控制服务器)的技术分析,火眼认为APT28就是一场名为“俄罗斯套娃”行动的实施者。

尽管使用了两个零日漏洞,攻击者也没有成功侵入目标。火眼公司检测到的入侵过程如下:

  1. 用户点击链接访问攻击者控制的网站
  2. 网站的HTML/JS页面包含Flash漏洞的恶意利用
  3. 触发Flash漏洞(CVE-2015-3043),执行shellcode
  4. shellcode下载并运行恶意代码
  5. 恶意代码利用Winodws漏洞 (CVE-2015-1701) 提升本地权限以盗取系统令牌

利用Flash漏洞(CVE-2015-3043)的恶意软件,与之前发现的APT28使用的后门程序筷子(Chopstic)和芯壳(Coreshell)共享特征参数。(相关文章:为什么说APT28是俄罗斯政府干的?)

利用Flash漏洞(CVE-2015-3043)的恶意软件,与之前发现的APT28使用的后门程序筷子(Chopstic)和芯壳(Coreshell)共享特征参数。

上周,趋势科技披露了一起新的网络间谍活动--“兵卒风暴行动”(Operation Pawn Storm)与火眼发现的APT28使用相同的攻击手法,目标是美国白宫和北约成员国。

“我们认为该组织的攻击目标还有俄罗斯的不同政见者,那些反对克里姆林宫的人,以及乌克兰活动家和军事力量,因此可以推测该组织与俄罗斯政府有关。”

去年火眼发现的APT28,就以格鲁吉亚内政部、国防部和训练格鲁吉亚军队的美国国防承包商为目标。

原文发布时间为:四月 21, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/7376.html

相关文章
|
安全 网络安全
国家网络安全宣传周:勒索病毒利如刀,上网备好技能包
近年来,勒索病毒携带着日趋成熟的手段革新和愈发隐蔽、复杂的“进化”能力,开启了“重装上阵”的疯狂模式,“出镜率”大有提高。由于大型政企机构的网络资产价值高,就成了勒索病毒的头号“猎物”。 政企机构信息系统一旦被入侵或被破坏,将会直接危害到业务运营,进而危害到生产安全、社会安全、甚至国家安全。举办网络安全宣传周、提升全民网络安全意识和技能,是国家网络安全工作的重要内容。
689 0
国家网络安全宣传周:勒索病毒利如刀,上网备好技能包
|
云安全 安全 应用服务中间件
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利
一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。
3370 0
|
安全
俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选
本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选,近日,挪威外交部、情报部、国家辐射防护局、工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击。挪威官方称尚未有敏感数据泄露。
1419 0
|
安全
英国最大 NHS 信托医院遭受黑客0day攻击
本文讲的是英国最大 NHS 信托医院遭受黑客0day攻击,今年1月,英国巴兹保健和国民信托(Barts Health NHS Trust)的网络系统遭到黑客零日漏洞攻击被迫离线。
1682 0
|
Dragonfly 安全
疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网
本文讲的是疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网,在黑客攻击关键基础设施的年代,电力公司网络上任何恶意软件感染事件都足以引起恐慌。但现实是,这种针对电力网络的渗透活动正在进一步加剧:近日,安全公司赛门铁克警告称,一系列新的黑客攻击活动不仅能够损害美国和欧洲的能源公司,还允许攻击者获得访问电网系统的权限,进而控制美国领土上的电力系统,致使其全面停电。
2055 0
|
Web App开发 安全 Java
又一零日漏洞被APT28利用攻击各国政府及军方机构
本文讲的是又一零日漏洞被APT28利用攻击各国政府及军方机构,一个以政府、军方和媒体机构为目标的网络间谍组织,使用了甲骨文一个没有补丁的Java漏洞发动攻击。
1018 0