“沙虫”正在进行针对性攻击
10月17日,Windows操作系统的又一个新的具有重大威胁的漏洞被发现,一些黑客或黑客组织已经利用该漏洞对欧洲和美国发动了少量的有针对性的攻击。该漏洞为微软的Windows OLE包管理器远程代码执行漏洞(cve-2014-4114),它允许攻击者嵌入对象链接和嵌入(OLE)外部文件,并利用该漏洞把恶意软件下载并安装到目标电脑上。利用该漏洞进行攻击的是被称为“沙虫”的间谍组织Backdoor.Lancafdo.A (也被称为“黑色能源后门”),是个极有针对性的黑客组织。
该漏洞影响所有版本的Windows Vista Service Pack 2和Windows 8.1,以及WindowsServer 2008年和2012年的全部版本。它通过修改Windows OLE的数据,允许攻击者把恶意代码嵌入到OLE中,然后自动下载外部文件并运行。
据相关人员透露:该漏洞已经被少数反北约网络间谍利用并攻击了一些目标,其中包括一些欧洲政府组织、能源领域的公司、欧洲的电信公司和美国的学术组织等。这些攻击从今年8月就已经开始了,目前北约把利用该漏洞进行攻击的集团统称为沙虫。
迄今为止所发现的攻击途径都是通过钓鱼电子邮件传播的,邮件中包含一个恶意的PowerPoint文件附件,其代码名称为Trojan.Mdropper 。 PowerPoint文件包含两部分:OLE文档和一个网址。如果目标用户打开PowerPoint文件,这个网址就会自动下载一个.exe文件和一个.inf文件,并自动安装。文件一旦被安装,也就等于给攻击者留下了后门,允许攻击者下载和安装其它恶意软件;这个文件还携带有 information-stealing(信息窃取)组件,并且可以自动下载更新以骗过杀毒软件的扫描。
虽然当前该文件目前只是伪装成PowerPoint文件,但并不排除其伪装成如Word文档或Excel电子表格等平时常用的办公软件并加以传播的可能性。
目前我们可以通过修补WINDOWS系统补丁、升级杀毒软件病毒库、删除不安全邮件等方式避免病毒的入侵,而且现在很多杀毒软件也已经有了针对该漏洞的响应措施。