俄总统事务管理局遭APT攻击 360溯源攻击样本来自乌克兰

2018年11月29日,360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档使用了最新的Flash 0day漏洞(cve-2018-15982)和带有自毁功能的专属木马程序进行攻击。在发现攻击后,我们第一时间将0day漏洞的细节报告了Adobe官方,Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞,并在官网致谢360团队。

俄总统事务管理局遭APT攻击 360溯源攻击样本来自乌克兰

攻击方不惜代价要攻下目标,但同时又十分小心谨慎

从攻击过程看,攻击者通过投递rar压缩包发起攻击,当受害者打开压缩包内的问卷文档后,将会播放Flash 0day文件。触发漏洞后, winrar解压程序将会操作压缩包内文件,执行最终的PE荷载backup.exe。

360安全大脑经过漏洞分析发现,利用代码借助uaf漏洞,可以实现任意代码执行。从最终荷载分析发现, PE荷载是一个经过VMP强加密的后门程序,通过解密还原,我们发现主程序主要功能为创建一个窗口消息循环,有8个主要功能线程,其中包括定时自毁线程。

俄总统事务管理局遭APT攻击 360溯源攻击样本来自乌克兰

漏洞文档攻击过程

俄总统事务管理局遭APT攻击 360溯源攻击样本来自乌克兰

播放Flash 0day漏洞

目前我们还无法确定攻击者的动机和身份

按照被攻击医疗机构的网站(http://www.p2f.ru) 介绍,该医疗机构成立于1965年,创始人是俄罗斯联邦总统办公室,是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。由于这次攻击属于360在全球范围内的首次发现,结合被攻击目标医疗机构的职能特色,我们将此次APT攻击命名为“毒针”行动。目前我们还无法确定攻击者的动机和身份,但该医疗机构的特殊背景和服务的敏感人群,使此次攻击表现出了一定的定向性。

详细报告,请参阅如下链接:http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html

原创文章,作者:360安全,如若转载,请注明出处:http://www.mottoin.com/news/133225.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code