新闻中心

Hot News

CVE-2018-8453 FruityArmor APT在针对中东的攻击中利用的零时差漏洞

CVE-2018-8453 FruityArmor APT在针对中东的攻击中利用的零时差漏洞


微软在最新的Patch Tuesday修补了APT组织针对中东实体的攻击中利用的Windows零时差漏洞。

被视为CVE-2018-8453的Windows零时差漏洞是APT组织在攻击中东实体时利用的提权漏洞。

追踪为CVE-2018-8453的漏洞会影响Windows的Win32k组件处理内存中的对象。

卡巴斯基实验室的专家发现的漏洞可能被经过身份验证的攻击者利用来控制受影响的系统。

卡巴斯基实验室大约在两个月前的8月17日回报微软这个漏洞。

卡巴斯基透露,CVE-2018-8453漏洞已经被FruityArmor APT组织利用,这是一个网络间谍组织,最初于2016年首次被观察到,同时针对与政府组织相关的活动人员、研究人员和个人。

专家们认为,FruityArmor的活动在过去两年中一直在缓慢增加。

该组织使用的恶意软件安装程序包含零时差攻击,以提升目标计算机上的权限并常驻。

恶意软件抛出的最终payload是攻击者使用的复杂植体,用于持续性存取受害者的机器。

卡巴斯基发布的报告:『在2018年8月,我们的自动漏洞防护(AEP)系统检测到试图利用微软Windows操作系统中的漏洞。对此案例的进一步分析使我们发现了win32k.sys中的零时差漏洞。』 『该漏洞利用程序由恶意软件安装程序的第一阶段执行,以获得常驻对受害者系统的必要权限。该漏洞的程序代码质量很高,其目的是可靠地利用尽可能多种的MS Windows版本,包括MS Windows 10 RS4。』

这个零时差漏洞类似于追踪为旧的CVE-2017-0263漏洞,该漏洞由微软于2017年5月修复,并且已经被追踪为APT28的与俄罗斯有关的网络间谍组织利用。 这个零时差攻击被用于针对位于中东的不到10几个实体的针对性攻击。

『到目前为止,这波活动极具针对性,影响了中东地区极少数受害者,可能是攻击者感兴趣的人。然而,受害者的情况尚不清楚,特别是涉及的受害者数量如此之少。』

由于检测到以前由FruityArmor APT组织独家使用的PowerShell后门,因此这个归属是可能的。专家们还证实,最新的这波活动与此前该组织的攻击之间的中继站基础设施存在重迭的部分。

卡巴斯基专家在分析中报告了更多技术细节。

守内安信息科技(上海)有限公司,是上海市政府及国家奖励支持的软件自主研发高科技创新企业,钻研于邮件过滤管理和网络内容安全,不断推陈出新,产品均取得国家版权局的计算机软件著作权。

主要的产品有:

  1. HMDS高性能邮件威胁防御系统
  2. Mail Archiving Expert电子邮件归档专家
  3. Mail SQR Expert电子邮件防泄密(审计)管理

关注“softnext守内安”公众号,获取更多资讯

登入

登入成功