微软Office入侵:政府黑客利用Word漏洞攻击俄罗斯目标
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月14日讯 根据美国知名安全公司火眼(FireEye)公司的说明,昨天刚被修复的一项微软Word安全漏洞曾被某政府黑客组织用来对俄罗斯目标进行恶意软件感染。目前,此轮攻击活动的来源尚不明确,但基本可以肯定是民族国家支持型黑客所为。
该攻击活动利用到微软Office中的一项0day漏洞,当时这项漏洞尚未被安全业界发现。
据称,这项现已得到修复的漏洞允许黑客向受害者发送包含恶意程序的Word伪造文档,并借此实现远程恶意软件安装。
该攻击能够绕过微软Office与Windows的多种内置安全应对系统,意味着其无法被常规防御机制所阻止。在安全企业Proofpoint公司进行的攻击测试当中,发现只要用户尝试打开该文档,此漏洞即会生效。而一旦微软Office被启动并尝试读取此文件,亦将立即受到感染。
在这起明显是由政府支持的黑客攻击活动中,攻击方向俄罗斯受害者发送了一系列伪造文件,其中包括一份俄语版本的俄罗斯军备手册以及一份列出“七大热门黑客手段”的文件。这些伪造文档还绑定FinSpy间谍工具,后者由来自德国的监控厂商Gamma Group(该公司主要向国家支持型黑客出售各类可用于间谍活动的恶意软件)开发完成。
这一利用FinSpy实施的攻击最早可以追溯到今年1月27日,而最新确认的案例发生于3月,意味着此微软Word安全漏洞在修复前数个月早就被恶意人士发现并利用。
除了政府支持型攻击者,其他网络犯罪分子也在使用这项漏洞。根据FIreEye公司的调查,攻击者们所使用的LATENTBOT恶意软件就用到了同一项微软Word漏洞以清空用户凭证,而这一攻击行为很可能出于经济利益的驱使。
这项0day漏洞于上周被McAfee公司披露之后,随即出现一大波以垃圾邮件为载体向用户发送微软Word文档的行为。一旦将此类文档打开,Dridex恶意软件立即会被安装在用户的设备上,该恶意软件常被用于窃取银行凭证。
这项0day漏洞目前已经被微软方面修复,不过用户需要下载并安装最新修复补丁。如果尚未安装补丁,那么您仍有可能受到此类攻击的影响。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。