▌作者:Eduard Kovacs
▌翻译:360代码卫士团队
微软在本月安全更新中修复的其中一个漏洞是0day漏洞,攻击者已利用该漏洞向讲俄语的个人传播FinFisher监控软件。
火眼公司的研究员向微软报告了这个漏洞,它的编号是CVE-2017-8759,它影响的是.NET框架,尤其是一个SOAP WSDL解析器。攻击者能利用这个安全漏洞通过让目标用户打开特殊编制的文档或应用的方式,实施远程代码执行。
火眼研究人员观察到,攻击者通过在部署FinFisher的一个变体即最终payload之前下载多个组件的恶意文档利用这个漏洞。
FinFisher也被称为FINSPY和WingBird,它是一款合法的拦截工具。其开发人员声称只出售给政府机构。然而,研究人员在多个情况下均发现这款监控软件已被多个在人权和公民自由方面声名狼藉的国家所使用。
在最近所观察到的攻击中,研究人员发现攻击者通过名为“Проект.doc”(俄语中的“项目(project)”)的文档传播监控软件。火眼公司认为一个受国家支持的黑客组织发动了攻击,目的是监控讲俄语的用户。研究人员在一篇博客文章中指出,“(FinFisher的这个变体)大幅利用使用了内置虚拟机(其中的反分析技术之一)的混淆代码让逆向变得更加困难。跟另外一种独特的反分析技术类似,它解析了自己的完整路径并搜索自己MD5哈希的字符串表示。很多资源如分析工具和沙箱将文件/样本重命名为它们的MD5哈希,目的是确保文件名称的唯一性。”
微软将攻击者追踪为NEODYMIUM,该组织去年使用Flash 0day漏洞传播FinFisher。虽然微软发布的CVE-2017-8759包含的信息甚少,但火眼公司的博客文章中披露了很多技术细节(https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html)。
今年早些时候,卡巴斯基注意到FinFisher恶意软件是一个名为“BlackOasis”的中东威胁组织通过利用一个微软0day漏洞(CVE-2017-0199)传播的。火眼公司也在今年早些时候发现了利用CVE-2017-0199漏洞传播FinFisher的攻击。另外一家安全公司也认为CVE-2017-8759可能已被其它攻击组织所利用,但目前尚未有支撑该理论的证据。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
