两个APT组织利用同一个0day漏洞监控土耳其公民

微软安全研究人员最新发现两个APT组织利用同一个Flash播放器的0day漏洞监控生活在土耳其境内和其它欧洲国家的土耳其公民。

微软将这两个APT组织命名为钷和钕（均为化学元素名称），这两个组织使用的是不同的基础架构和恶意软件，但二者之间又存在一些相似之处，这说明在更高的组织架构中它们可能是有关联的。

研究人员在今年5月份发现了这两个组织实施的攻击，它们利用的0day漏洞是Adobe已在5月12日修复的CVE-2016-4117。这两个组织使用漏洞的时间段相同、都是在该漏洞被公开之前使用的、且攻击的目标一致。

钷至少活跃于2012年，在这次攻击中，它通过即时消息应用程序发送指向利用CVE-2016-4117的文档链接，目的是传播一款名为Truvasys的恶意软件。这款恶意软件主要出现在西欧国家，不过它被配置后针对由土耳其区域位置设置（也就是用户语言和区域的参数）的设备。这表明攻击者的具体目标就是生活在土耳其和西欧国家的土耳其公民。在某些情况下，攻击者还会传播一款名为Myntor的恶意软件，但微软无法确定将Myntor传播到受害者电脑上依据的条件和标准。

卡巴斯基实验室也分析了钷的攻击活动，并将该组织命名为StrongPity。卡巴斯基表示，钷利用水坑和投毒应用程序安装器传播恶意软件，而它所采用的技术跟与俄罗斯威胁组织Crouching Yeti（也就是Energetic Bear和Dragonfly，中文“活力熊”和“蜻蜓”）有关的技术相似。

钕组织的攻击者使用带有恶意文档的鱼叉式钓鱼邮件传播恶意软件。它使用被微软称为Wingbird的后门，这款后门被认为是政府商用监控软件FinFisher的升级版。微软指出，出售FinFisher的公司声称只将软件卖给政府机构用于有针对性的法律刑事调查中，这说明用来传播FinFisher的利用包和鱼叉式钓鱼攻击可能是由跟政府黑客有关的威胁组织所为。微软发现超过80%的钕受害者都位于土耳其，不过受感染的案例也出现在美国、德国和英国。微软指出，Wingbird仅用于攻击个人而非某个组织机构网络中的设备。