本文讲的是 APT28使用两个零日漏洞入侵他国政府机关,去年曝光的俄罗斯黑客组织APT28,被发现者火眼公司描述为一个技术高超的收集国防和地理政治情报的并由俄罗斯政府支持的网络间谍活动小组。近日,火眼公司又披露了该小组的一些详细信息。
火眼声称,于4月13日检测到了该小组发起的攻击使用了两个零日漏洞,包括一个Flash漏洞(CVE-2015-3043)和一个Windows漏洞(CVE-2015-1701)。通过对其C2(命令控制服务器)的技术分析,火眼认为APT28就是一场名为“俄罗斯套娃”行动的实施者。
尽管使用了两个零日漏洞,攻击者也没有成功侵入目标。火眼公司检测到的入侵过程如下:
- 用户点击链接访问攻击者控制的网站
- 网站的HTML/JS页面包含Flash漏洞的恶意利用
- 触发Flash漏洞(CVE-2015-3043),执行shellcode
- shellcode下载并运行恶意代码
- 恶意代码利用Winodws漏洞 (CVE-2015-1701) 提升本地权限以盗取系统令牌
利用Flash漏洞(CVE-2015-3043)的恶意软件,与之前发现的APT28使用的后门程序筷子(Chopstic)和芯壳(Coreshell)共享特征参数。(相关文章:为什么说APT28是俄罗斯政府干的?)
利用Flash漏洞(CVE-2015-3043)的恶意软件,与之前发现的APT28使用的后门程序筷子(Chopstic)和芯壳(Coreshell)共享特征参数。
上周,趋势科技披露了一起新的网络间谍活动--“兵卒风暴行动”(Operation Pawn Storm)与火眼发现的APT28使用相同的攻击手法,目标是美国白宫和北约成员国。
“我们认为该组织的攻击目标还有俄罗斯的不同政见者,那些反对克里姆林宫的人,以及乌克兰活动家和军事力量,因此可以推测该组织与俄罗斯政府有关。”
去年火眼发现的APT28,就以格鲁吉亚内政部、国防部和训练格鲁吉亚军队的美国国防承包商为目标。
原文发布时间为:四月 21, 2015
本文作者:Recco
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/7376.html
