香港与台湾网站遭HackingTeam泄露武器攻击
7月9日开始,有黑客团队对台湾和香港网站发起攻击,所用工具竟然是Hacking Team泄出的Flash漏洞利用程序PoisonIvy。
成都创新互联公司专注于企业营销型网站、网站重做改版、铁岭县网站定制设计、自适应品牌网站建设、H5技术、商城网站开发、集团公司官网建设、成都外贸网站制作、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为铁岭县等各大城市提供网站开发制作服务。
[[143068]]
中枪的都是热门的
攻击者破坏了台湾当地电视台网站、教育机构、一个宗教研究机构、一个知名政党以及一家在香港很受欢迎的新闻网站。值得注意的是,受影响的网站提供的内容信息都拥有广泛的追随者。例如教育机构网站,是用于为政府雇员提供就业考试的。台湾的电视网络台则已经从事了十年的生产及进口电视节目。
受影响的网站其所有者已经对此知晓;而在本文发布之际,仍有三个站点被盗用。
Hacking Team 泄密阴影犹存
攻击者首先使用了一个来自Hacking Team泄密文件中的Flash Player exp(CVE-2015-5119),该利用是7月5日被曝出,而Adobe在7月7日进行了补丁。第二波攻击的武器则是另同样来自Hacking Team的另一个Flash的0day漏洞(cve-2015-5122)。
图1.利用Hacking Team 泄密武器攻击台湾及香港网站的时间轴
我们发现两轮攻击针对的是相同两家台湾教育机构网站。
图2.一个台湾宗教组织网站被黑截图(CVE-2015-5122)
PoisonIvy以及其他有效负载
我们发现所有遭破坏网站均被注入了一个恶意SWF,使用iframe指向远程访问工具(RAT)PoisonIvy,这里经检测最终有效负载为 BKDR_POISON.TUFW。PoisonIvy是一个在黑市中流行的RAT可用后门,也常被用于有针对性的攻击。这个后门被用于截图、相机图片及音频;记录点击的按与活动窗口;删除、搜索和上传文件;以及执行其他闯入例程。
另一方面,在图片发现攻击政党网站运用的则是一个不同的负载,即TROJ_JPGEMBED.F。这个政党网站将收集的信息发送到与另一个站点 (223[.]27[.]43[.]32)相同的服务器上,由此我们认为该攻击与其他攻击是有联系的。
图3.显示了Hacking Team Flash 利用的终极有效负载
尽管对于此次是否为有针对性的攻击活动,分析仍在继续,但我们发现了一个嵌入负载中的可疑域名 wut[.]mophecfbr[.]com,该域名同时存在于指挥控制(C&C)之前报道的有针对性攻击列表中。
建议
为了保护设备免受攻击以及恶意后门访问,用户应当及时更新Adobe Flash Player。你可以通过Adobe Flash Player网页检验自己是否使用的最新版应用,同时也能让你保持对最新消息的及时掌握。了解更多关于Flash的最新事件,以及在我们的博客上用户及公司能够做些什么。总之,Adobe Flash的困境在于旧习难改。
趋势科技检测了此次攻击中所有相关的恶意软件和exp。哈希值如下:
·SWF_CVE20155122.A
d4966a9e46f9c1e14422015b7e89d53a462fbd65
·SWF_CVE20155122.B
fdcdf30a90fa22ae8a095e99d80143df1cc71194
·SWF_CVE20155122.C
9209fee58a2149c706f71fb3c88fef14b585c717
·BKDR_POISON.TUFW
2dc1deb5b52133d0a33c9d18144ba8759fe43b66
本文名称:香港与台湾网站遭HackingTeam泄露武器攻击
网页URL:http://www.shufengxianlan.com/qtweb/news6/61506.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联