首页中国青年网北京12月6日电 11月29日,360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档使用了最新的Flash 0day漏洞(cve-2018-15982)和带有自毁功能的专属木马程序进行攻击。
从攻击过程看,攻击者通过投递rar压缩包发起攻击,当受害者打开压缩包内的问卷文档后,将会播放Flash 0day文件。触发漏洞后, winrar解压程序将会操作压缩包内文件,执行最终的PE荷载backup.exe。
漏洞文档攻击过程
播放Flash 0day漏洞
按照被攻击医疗机构的网站(http://www.p2f.ru)介绍,该医疗机构成立于1965年,创始人是俄罗斯联邦总统办公室,是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。
目前攻击者的动机和身份仍无法确定,但该医疗机构的特殊背景和服务的敏感人群,使此次攻击表现出了一定的定向性。
在发现攻击后,360第一时间将0day漏洞的细节报告了Adobe官方,Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞,并在官网致谢360团队。