Microsoft Word 零日漏洞已被用于传播间谍软件 FinSpy

FireEye 安全研究人员发现，编号为 CVE-2017-0199 的 Microsoft Word 零日漏洞与乌克兰冲突中的网络间谍活动存在某种联系。

据悉，攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册，受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。按规定，FinSpy 仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售与专制政权。

FireEye 公开表示，CVE-2017-0199 漏洞在经披露之前就已被充分用于经济与国家民族利益动机。调查表明，攻击者早在今年 1 月与 3 月就曾使用该漏洞传播恶意软件 FinSpy 与 LatentBot 。此外，研究人员发现这两款恶意软件的传播方式具有相似性，疑似从某个共享源获取攻击代码。目前，专家们仍在调查攻击的最终目标，而该诱饵文件似乎已在俄罗斯支持的乌克兰分裂地区“ 顿涅茨克人民共和国 ”发布。

早在 2017 年 1 月 25 日，CVE-2017-0199 漏洞就已通过伪装成《俄罗斯国防部法令》与“ 顿涅茨克人民共和国 ”境内发行手册的诱饵文档提供恶意软件 FinSpy 的有效载荷。虽然目前具体目标尚无法确定，FinSpy 已由 Gamma 集团出售给多个国家地区的客户。研究人员介绍，该恶意软件将与零日漏洞一并用于网络间谍攻击。

恶意文档 СПУТНИКРАЗВЕДЧИКА.doc（MD5：c10dabb05a38edd8a9a0ddda1c9af10e）是一份广泛传播的军事训练手册。值得注意的是，这个版本据称已在“ 顿涅茨克人民共和国 ”（由乌克兰东部反基辅反叛分子控制）发布。据悉，这本训练手册可以下载额外有效载荷以及冒充《俄罗斯森林管理计划审批法令》的另一个伪造文件FireEye 专家怀疑黑客可能已经使用恶意软件 FinSpy 入侵政府运营商等目标。此外，专家还发现暗市中流通的零日漏洞曾于今年 3 月引发同样的攻击流量。

FireEye 补充，早在 2017 年 3 月 4 日，恶意软件 LatentBot 就已通过 CVE-2017-0199 漏洞进行传播。迄今为止， FireEye iSIGHT Intelligence 仅在经济动机攻击活动中观察到具有凭据盗窃能力的恶意软件。此外，近期攻击活动中使用的通用诱饵与经济黑客使用的方法相一致。

原作者：Pierluigi Paganini，译者：青楚，译审：游弋
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

from hackernews.cc.thanks for it.