Morphisec 警告称,有人利用香港电信公司网站进行攻击,攻击开始使用最近的 Flash 漏洞,该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。
韩国互联网与安全局(KISA)发布警告提到 CVE-2018-4878 漏洞,并表示漏洞被朝鲜黑客利用后,Adobe 在一周内修补了漏洞。
Morphisec 指出,最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。
由于新的攻击手法没有生成文件,也没有在硬盘中留下痕迹,因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议
安全研究人员指出:“一般来说,这种先进的水坑攻击本质上是高度针对性的,应该有一个非常先进的组织在进行支持。”
隐蔽性增强
这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似,尽管他们使用了不同的 shellcode。
攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。
安全研究人员还发现,命令和控制(C&C)服务器通过 443 端口使用自定义协议与受害者进行通信。
下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译,攻击在不到一周的时间里开始。
尽管有这些先进的隐蔽功能,但这次攻击使用了基本的 Metasploit 框架组件,这些组件在攻击之前编译,并且没有混淆,这对攻击的溯源造成了困难。
Morphisec 表示,这次攻击针对几周前的 CVE-2018-4878,而攻击又来自具有国家背景的组织,这些都造成了某种似曾相识的感觉。
稿源:freebuf,封面源自网络;
请登录后发表评论
注册