2017041221

Microsoft Word 零日漏洞已被用于传播间谍软件 FinSpy

  • 浏览次数 6391
  • 喜欢 1
  • 评分 12345

FireEye 安全研究人员发现,编号为 CVE-2017-0199 的 Microsoft Word 零日漏洞与乌克兰冲突中的网络间谍活动存在某种联系。

据悉,攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册,受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。按规定,FinSpy 仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售与专制政权。

FireEye 公开表示,CVE-2017-0199 漏洞在经披露之前就已被充分用于经济与国家民族利益动机。调查表明,攻击者早在今年 1 月与 3 月就曾使用该漏洞传播恶意软件 FinSpy 与 LatentBot 。此外,研究人员发现这两款恶意软件的传播方式具有相似性,疑似从某个共享源获取攻击代码。目前,专家们仍在调查攻击的最终目标,而该诱饵文件似乎已在俄罗斯支持的乌克兰分裂地区“ 顿涅茨克人民共和国 ”发布。

早在 2017 年 1 月 25 日,CVE-2017-0199 漏洞就已通过伪装成《俄罗斯国防部法令》与“ 顿涅茨克人民共和国 ”境内发行手册的诱饵文档提供恶意软件 FinSpy 的有效载荷。虽然目前具体目标尚无法确定,FinSpy 已由 Gamma 集团出售给多个国家地区的客户。研究人员介绍,该恶意软件将与零日漏洞一并用于网络间谍攻击。

恶意文档 СПУТНИКРАЗВЕДЧИКА.doc(MD5:c10dabb05a38edd8a9a0ddda1c9af10e)是一份广泛传播的军事训练手册。值得注意的是,这个版本据称已在“ 顿涅茨克人民共和国 ”(由乌克兰东部反基辅反叛分子控制)发布。据悉,这本训练手册可以下载额外有效载荷以及冒充《俄罗斯森林管理计划审批法令》的另一个伪造文件FireEye 专家怀疑黑客可能已经使用恶意软件 FinSpy 入侵政府运营商等目标。此外,专家还发现暗市中流通的零日漏洞曾于今年 3 月引发同样的攻击流量。

FireEye 补充,早在 2017 年 3 月 4 日,恶意软件 LatentBot 就已通过 CVE-2017-0199 漏洞进行传播。迄今为止, FireEye iSIGHT Intelligence 仅在经济动机攻击活动中观察到具有凭据盗窃能力的恶意软件。此外,近期攻击活动中使用的通用诱饵与经济黑客使用的方法相一致。

原作者:Pierluigi Paganini译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot