概述

　　日前，360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)在全球范圍內(nèi)率先監(jiān)控到了一例使用0day漏洞的APT攻擊，捕獲到了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊，并將該漏洞命名為“雙殺”漏洞。該漏洞影響最新版本的IE瀏覽器及使用了IE內(nèi)核的應(yīng)用程序。用戶在瀏覽網(wǎng)頁(yè)或打開(kāi)Office文檔時(shí)都可能中招，最終被黑客植入后門(mén)木馬完全控制電腦。對(duì)此，我們及時(shí)向微軟分享了該0day漏洞的相關(guān)細(xì)節(jié)，并第一時(shí)間對(duì)該APT攻擊進(jìn)行了分析和追蹤溯源，確認(rèn)其與APT-C-06組織存在關(guān)聯(lián)。

圖：黑客整個(gè)攻擊流程

　　2018年4月18日，在監(jiān)控發(fā)現(xiàn)該攻擊活動(dòng)后，360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)在當(dāng)天就與微軟積極溝通，將相關(guān)細(xì)節(jié)信息提交到微軟。微軟在4月20日早上確認(rèn)此漏洞，并于5月8號(hào)發(fā)布了官方安全補(bǔ)丁，對(duì)該0day漏洞進(jìn)行了修復(fù)，并將其命名為CVE-2018-8174。在漏洞得到妥善解決后，360于5月9日發(fā)布本篇報(bào)告，對(duì)攻擊活動(dòng)和0day漏洞進(jìn)一步的技術(shù)披露。

　　中國(guó)受影響情況

　　根據(jù)360監(jiān)測(cè)到的數(shù)據(jù)來(lái)看，此次利用“雙殺”0day漏洞發(fā)動(dòng)的攻擊影響地區(qū)主要集中在一些外貿(mào)產(chǎn)業(yè)活躍的重點(diǎn)省份，受害目標(biāo)主要是一些外貿(mào)企業(yè)單位和相關(guān)機(jī)構(gòu)。

　　APT組織情況

　　APT-C-06組織是一個(gè)長(zhǎng)期活躍的境外APT組織，其主要目標(biāo)為中國(guó)和其他國(guó)家。攻擊活動(dòng)主要目的是竊取敏感數(shù)據(jù)信息進(jìn)行網(wǎng)絡(luò)間諜攻擊，其中DarkHotel的活動(dòng)可以視為APT-C-06組織一系列攻擊活動(dòng)之一。

　　在針對(duì)中國(guó)地區(qū)的攻擊中，該組織主要針對(duì)政府、科研領(lǐng)域進(jìn)行攻擊，且非常專(zhuān)注于某特定領(lǐng)域，相關(guān)攻擊行動(dòng)最早可以追溯到2007年，至今還非常活躍。從掌握的證據(jù)來(lái)看該組織有可能是由境外政府支持的黑客團(tuán)體或情報(bào)機(jī)構(gòu)。

　　該組織針對(duì)中國(guó)的攻擊時(shí)間已經(jīng)長(zhǎng)達(dá)10年之久，攻擊使用的漏洞和后門(mén)技術(shù)在不斷演進(jìn)中。根據(jù)我們2017年捕獲到的數(shù)據(jù)來(lái)看，該組織對(duì)我國(guó)的攻擊主要集中在某些外貿(mào)產(chǎn)業(yè)活躍的重點(diǎn)省份，主要對(duì)外貿(mào)易相關(guān)的機(jī)構(gòu)和關(guān)聯(lián)機(jī)構(gòu)為攻擊目標(biāo)，進(jìn)一步竊取相關(guān)的機(jī)密數(shù)據(jù)，對(duì)目標(biāo)進(jìn)行長(zhǎng)期的監(jiān)控。

　　在十?dāng)?shù)年的網(wǎng)絡(luò)攻擊活動(dòng)中，該組織多次利用0day漏洞發(fā)動(dòng)攻擊，且使用的惡意代碼非常復(fù)雜，相關(guān)功能模塊達(dá)到數(shù)十種，涉及惡意代碼數(shù)量超過(guò)200個(gè)。2018年4月，360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)在全球范圍內(nèi)率先監(jiān)控到了該組織使用0day漏洞的APT攻擊，進(jìn)而發(fā)現(xiàn)了全球首例利用瀏覽器0day漏洞的新型Office文檔攻擊。

　　360核心安全事業(yè)部高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)在捕獲到這一使用0day漏洞的APT攻擊后，第一時(shí)間向微軟進(jìn)行了信息共享并披露了該漏洞細(xì)節(jié)。在5月8日微軟官方安全補(bǔ)丁發(fā)布后，我們發(fā)布本文對(duì)此次攻擊事件進(jìn)行了詳實(shí)的披露與分析。

　　報(bào)告詳情參閱：http://zt.#/1101061855.php?dtid=1101062370&did=210645168

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。