Morphisec实验室表示,一名推特ID为“PhysicalDrive0”的安全研究人员在上周二发出警告称,有黑客向香港一家电信公司的网站发起了网络攻击。
经过Morphisec实验室研究员Michael Gorelik和Assaf Kachlon的调查确认,事实的确如此。攻击者利用一个已知的Adobe Flash零日漏洞(CVE-2018-4878)在该公司网站的主页面上添加了一个嵌入式Adobe Flash文件。
根据相关信息显示,CVE-2018-4878漏洞最早是由韩国计算机应急响应小组(KR-CERT)发现的,而KR-CERT表示,来自朝鲜的黑客组织已经成功将这个漏洞运用到了实际攻击活动中。
Adobe随即在一周之内对这个漏洞完成了修复,并在其发布的公告中表示漏洞会影响到Flash Player 28.0.0.137以及之前的所有版本。
Morphisec指出,针对香港电信公司网站网络攻击可以说是一起典型的水坑攻击(Watering Hole Attack)事件。这是一种常用的黑客攻击方式之一,攻击者首先会分析攻击目标通常会访问哪些网站,然后入侵这些网站并部署恶意软件。在攻击目标访问这些网站时,会被重定向到恶意网址或触发恶意软件执行,导致攻击目标所属网络系统中的其他成员同样会遭到恶意软件的感染。
Morphise进一步强调说,水坑攻击从本质上讲具备高度针对性,并且具备高度的隐匿性。在这起攻击活动中,攻击者没有生产任何文件,也没有在本地硬盘上留下的任何痕迹。另外,攻击者还在没有过滤端口(443端口)上使用了自定义协议与命令和控制(C&C)服务器进行通信。这一切都表明,事件背后的攻击者应该是一个拥有先进技术的黑客组织。
研究人员解释说,攻击者在这起攻击事件中利用的Flash漏洞与先前发布的CVE-2018-4878分析报告中的描述具有高度相似性,主要区别在于之后执行的shellcode。
shellcode执行一个合法的Windows进程“rundll32.exe”,并用一段恶意代码覆盖其内存,而恶意代码的目的将其他代码直接下载到同一个rundll32进程的内存中。
下载到rundll32内存的附加代码包括Metasploit Meterpreter和Mimikatz模块,而大多数模块是在2月15日编译的,也就是说攻击者从开始准备到发起攻击只用了很短的时间。
攻击者使用的模块基于Github提供的最基本的Metasploit框架组件,并没有被添加任何复杂性、混淆或逃避检测机制,这会给研究人员对攻击者来源的追查造成很大的困扰。