盯上Word 0day漏洞的不只是犯罪分子

众所周知，最近出现的一个Word代码执行漏洞已被用于Dridex银行木马和Latentbot中。

火眼公司指出，这个0day漏洞还被国家黑客用于攻击俄罗斯目标，且最早在今年1月份就发生了。FinSpy监控软件早在1月份就安装了这个由微软于本周二修复的漏洞CVE-2017-0199。

FinSpy或FinFisher跟备受争议的英国公司Gamma集团有关。该公司还向全球政府出售所谓的“合法拦截”监控软件。研究人员指出，虽然只有一名Finspy用户在利用这个0day利用代码，但从Finspy的历史业务范围来看，其它消费者也在访问漏洞。另外，这个事件也说明了网络威胁具有全球性以及全球视角的价值：针对俄罗斯人的网络监控行为能让我们有机会学习并禁止针对英语国家的犯罪活动。

三月份，这个0day漏洞被用于安装到类似于僵尸网络的信息窃取和远程访问恶意软件数据包的Latentbot中。Latentbot拥有多种恶意功能如窃取凭证、远程桌面功能、硬盘和数据擦除以及禁用杀毒软件。

周一，犯罪分子修改了攻击活动并传播另外一款恶意软件数据包Terdot，随后利用TOR匿名服务安装软件已隐藏与其交互的服务器身份。

研究人员指出，这个被国家黑客用于在俄罗斯计算机上安装Finspy的0day漏洞以及被犯罪分子安装Latentbot的漏洞来自同一个来源。研究结果显示有人首先发现了这个漏洞并将它卖给了很多攻击者包括处理0day漏洞买卖和受经济利益驱动的网络犯罪分子。另外在周一晚上，Proofpoint公司的研究人员也发现了利用这个漏洞的Dridex银行恶意软件。

研究人员尚不确信传播Dridex银行木马的利用代码来自哪里，但有可能上周迈克菲披露的漏洞有助于Dridex运营人员利用这个缺陷，或者有权限访问这个漏洞的人将漏洞给了运营人员。

微软在周二修复了这个漏洞，但黑客以及政府间谍已经利用了数月之久。因此建议用户尽快安装安全更新以免受攻击。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。