騰訊御見(jiàn)捕獲0day攻擊木馬 協(xié)助微軟修復(fù)漏洞獲致謝

近日，騰訊御見(jiàn)威脅情報(bào)中心捕獲了一例“黑鳳梨”（BlackTech）APT組織利用0day漏洞攻擊樣本，并在第一時(shí)間上報(bào)微軟，獲得微軟公開(kāi)致謝。本次攻擊者利用攜帶PLEAD木馬的Office文檔為誘餌進(jìn)行郵件釣魚(yú)攻擊，該木馬隱蔽性極強(qiáng)，對(duì)企業(yè)重要文件和隱私信息造成極大威脅。

為幫助企業(yè)用戶有效抵御不法分子的網(wǎng)絡(luò)攻擊活動(dòng)，騰訊電腦管家首推獨(dú)有的“女?huà)z石防御技術(shù)”，可防御公式編輯器的一切漏洞攻擊。騰訊企業(yè)安全“御點(diǎn)”也支持防御和微軟系列漏洞，用戶可打補(bǔ)丁修復(fù)。

（圖：騰訊電腦管家攔截攻擊）

早在去年12月，騰訊電腦管家就曾針對(duì)0day漏洞野外攻擊率先發(fā)布安全預(yù)警。本次攻擊采用魚(yú)叉攻擊的方式，將攜帶0day漏洞（CVE-2018-0802）惡意利用代碼的Office文檔偽裝成辦公文件進(jìn)行傳播。經(jīng)分析該病毒是利用Office公式編輯器中的0day漏洞發(fā)動(dòng)攻擊，與之前CVE-2017-11882“高齡”漏洞如出一轍，影響范圍較為廣泛。

（圖：攜帶0day漏洞（CVE-2018-0802）惡意利用代碼的文檔）

據(jù)了解，本次發(fā)起攻擊活動(dòng)的“黑鳳梨”（BlackTech）是一個(gè)長(zhǎng)期活躍在亞洲地區(qū)的APT組織，其最早的活動(dòng)可見(jiàn)于2011年，由2017年5月被國(guó)外安全公司公開(kāi)披露。從2011年至今，騰訊御見(jiàn)威脅情報(bào)中心在跨度長(zhǎng)達(dá)6年的時(shí)間內(nèi)對(duì)該組織進(jìn)行追蹤，總共捕捉到數(shù)百個(gè)樣本和c&c域名。

騰訊電腦管家安全專家指出，該組織最常使用魚(yú)叉攻擊，采用發(fā)內(nèi)容緊貼熱點(diǎn)話題的誘餌文件進(jìn)行攻擊。該組織發(fā)起的漏洞攻擊善于偽裝，包括使用文檔類圖標(biāo)、反轉(zhuǎn)字符、雙擴(kuò)展名、漏洞利用等。通常偽裝成文檔圖標(biāo)，與正常文檔打包在同一壓縮包中，誘騙用戶點(diǎn)擊，或使用特殊的unicode字符(RTLO)反轉(zhuǎn)文件名和雙重文件名實(shí)現(xiàn)偽裝；同時(shí)使用漏洞打包成惡意文檔文件也是該組織常用的手段之一。

隨著“互聯(lián)網(wǎng)+”時(shí)代的來(lái)臨，政府、企業(yè)把更多的業(yè)務(wù)向云端遷移，各行各業(yè)都在構(gòu)建自己的大數(shù)據(jù)中心，數(shù)據(jù)價(jià)值凸顯。在這種趨勢(shì)下，根據(jù)騰訊御見(jiàn)威脅情報(bào)中心的監(jiān)測(cè)數(shù)據(jù)表明，政府、企業(yè)所面臨的APT攻擊變得越來(lái)越頻繁和常見(jiàn)。騰訊企業(yè)安全針對(duì)APT防御方面提供了多種解決方案，騰訊御界、騰訊御點(diǎn)等產(chǎn)品均可以檢測(cè)和防御本次APT攻擊。

目前，騰訊電腦管家已將本次攻擊活動(dòng)的漏洞信息提交給微軟官方，并協(xié)助其修復(fù)漏洞獲得公開(kāi)致謝。與此同時(shí)，微軟官方日前也發(fā)布了安全公告，重點(diǎn)涉及Internet Explorer瀏覽器、.NET組件、Office軟件中存在的多個(gè)安全漏洞，電腦管家團(tuán)隊(duì)已經(jīng)第一時(shí)間推送了這批補(bǔ)丁。騰訊電腦管家建議廣大用戶，在使用電腦時(shí)保持電腦管家等安全軟件開(kāi)啟狀態(tài)，不輕易點(diǎn)擊安全性不明的文件，有效避免不法黑客利用最新漏洞進(jìn)行攻擊。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。