圖片來源: 

維基共享資源;作者:Mass Communications Specialist 1st Class Corey Lewis , U.S. Navy

資安業者FireEye表示,今年4月13日發現俄國駭客組織APT28利用Adobe Flash與微軟Windows中的零時差漏洞進行間諜活動,並立即通知Adobe及微軟,Adobe很快就釋出更新程式,微軟則仍在修補中。

這項攻擊中與Flash Player有關的漏洞是CVE-2015-3043,Windows的則是CVE-2015-1701。根據CVE-2015-3043的描述,Flash Player在解析一個異常的FLV物件時,就會出現緩衝區溢位,可能導致記憶體錯誤且讓駭客遠端執行程式。Adobe在4月14日即修補該漏洞,也坦承已有針對該漏洞的攻擊程式現身。

至於CVE-2015-1701則是Windows中的權限擴張漏洞,由於正在修補中,尚無詳細的漏洞說明。不過,迄今CVE-2015-1701僅被駭客用來搭配CVE-2015-3043漏洞進行攻擊,因此風險並不高。

FireEye描述了駭客的攻擊流程:當使用者在由駭客掌控的網站上點選特定連結之後,就會被引導至一個含有Flash攻擊程式的HTML/JS啟動頁面,此一攻擊程式利用CVE-2015-3043漏洞並執行shellcode以開始下載與執行其他程式,再藉由微軟Windows的CVE-2015-1701權限擴張漏洞來竊取系統權杖。

FireEye並未揭露受到攻擊的組織,僅說是國際性的政府組織。事實上,去年10月FireEye即曾深入分析APT28駭客組織的特性,有別於中國駭客對可獲得經濟利益的智慧財產權有濃厚的興趣,APT28主要蒐集對俄國政府最有用的情報,從2007年起,該組織就積極鎖定各國政府、軍事,與安全組織的機密資訊,FireEye相信APT28即是由俄國政府贊助的間諜駭客組織。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容