7月9日開(kāi)始，有黑客團(tuán)隊(duì)對(duì)臺(tái)灣和香港網(wǎng)站發(fā)起攻擊，所用工具竟然是Hacking Team泄出的Flash漏洞利用程序PoisonIvy。

　　中槍的都是熱門的

攻擊者破壞了臺(tái)灣當(dāng)?shù)仉娨暸_(tái)網(wǎng)站、教育機(jī)構(gòu)、一個(gè)宗教研究機(jī)構(gòu)、一個(gè)知名政黨以及一家在香港很受歡迎的新聞網(wǎng)站。值得注意的是，受影響的網(wǎng)站提供的內(nèi)容信息都擁有廣泛的追隨者。例如教育機(jī)構(gòu)網(wǎng)站，是用于為政府雇員提供就業(yè)考試的。臺(tái)灣的電視網(wǎng)絡(luò)臺(tái)則已經(jīng)從事了十年的生產(chǎn)及進(jìn)口電視節(jié)目。

受影響的網(wǎng)站其所有者已經(jīng)對(duì)此知曉;而在本文發(fā)布之際，仍有三個(gè)站點(diǎn)被盜用。

Hacking Team 泄密陰影猶存

攻擊者首先使用了一個(gè)來(lái)自Hacking Team泄密文件中的Flash Player exp(CVE-2015-5119)，該利用是7月5日被曝出，而Adobe在7月7日進(jìn)行了補(bǔ)丁。第二波攻擊的武器則是另同樣來(lái)自Hacking Team的另一個(gè)Flash的0day漏洞(cve-2015-5122)。

圖1.利用Hacking Team 泄密武器攻擊臺(tái)灣及香港網(wǎng)站的時(shí)間軸

我們發(fā)現(xiàn)兩輪攻擊針對(duì)的是相同兩家臺(tái)灣教育機(jī)構(gòu)網(wǎng)站。

　　圖2.一個(gè)臺(tái)灣宗教組織網(wǎng)站被黑截圖(CVE-2015-5122)

PoisonIvy以及其他有效負(fù)載

我們發(fā)現(xiàn)所有遭破壞網(wǎng)站均被注入了一個(gè)惡意SWF，使用iframe指向遠(yuǎn)程訪問(wèn)工具(RAT)PoisonIvy，這里經(jīng)檢測(cè)最終有效負(fù)載為 BKDR_POISON.TUFW。PoisonIvy是一個(gè)在黑市中流行的RAT可用后門，也常被用于有針對(duì)性的攻擊。這個(gè)后門被用于截圖、相機(jī)圖片及音頻;記錄點(diǎn)擊的按與活動(dòng)窗口;刪除、搜索和上傳文件;以及執(zhí)行其他闖入例程。

另一方面，在圖片發(fā)現(xiàn)攻擊政黨網(wǎng)站運(yùn)用的則是一個(gè)不同的負(fù)載，即TROJ_JPGEMBED.F。這個(gè)政黨網(wǎng)站將收集的信息發(fā)送到與另一個(gè)站點(diǎn) (223[.]27[.]43[.]32)相同的服務(wù)器上，由此我們認(rèn)為該攻擊與其他攻擊是有聯(lián)系的。

　　圖3.顯示了Hacking Team Flash 利用的終極有效負(fù)載

盡管對(duì)于此次是否為有針對(duì)性的攻擊活動(dòng)，分析仍在繼續(xù)，但我們發(fā)現(xiàn)了一個(gè)嵌入負(fù)載中的可疑域名 wut[.]mophecfbr[.]com，該域名同時(shí)存在于指揮控制(C&C)之前報(bào)道的有針對(duì)性攻擊列表中。

建議

為了保護(hù)設(shè)備免受攻擊以及惡意后門訪問(wèn)，用戶應(yīng)當(dāng)及時(shí)更新Adobe Flash Player。你可以通過(guò)Adobe Flash Player網(wǎng)頁(yè)檢驗(yàn)自己是否使用的最新版應(yīng)用，同時(shí)也能讓你保持對(duì)最新消息的及時(shí)掌握。了解更多關(guān)于Flash的最新事件，以及在我們的博客上用戶及公司能夠做些什么。總之，Adobe Flash的困境在于舊習(xí)難改。

趨勢(shì)科技檢測(cè)了此次攻擊中所有相關(guān)的惡意軟件和exp。哈希值如下：

·SWF_CVE20155122.A

d4966a9e46f9c1e14422015b7e89d53a462fbd65

·SWF_CVE20155122.B

fdcdf30a90fa22ae8a095e99d80143df1cc71194

·SWF_CVE20155122.C

9209fee58a2149c706f71fb3c88fef14b585c717

·BKDR_POISON.TUFW