賽門鐵克發現近期駭客利用 Adobe Flash Player CVE-2012-0779 漏洞發動針對性攻擊(點此參考詳細內容);雖然目前的攻擊對象有限,但已遭駭客廣泛利用長達一週。該攻擊主要是利用夾帶惡意程式附件的電子郵件發動攻擊,其成功攻擊要件為必須在具有漏洞的 Flash Player 版本的電腦上開啟附件才會被感染。惡意文件中埋有一個導向遠端控制的惡意 Flash 參考程式,並在感染後控制 shellcode ,針對原始文件的酬載進行解密、置入磁碟,以及執行惡意程式。賽門鐵克目前將其偵測為 Trojan.Pasam 。
截至目前為止,我們已確定多個被攻擊的目標,主要對象是全球國防工業產品的製造商,不過這很可能在未來幾天內會有其他改變。
賽門鐵克在此次攻擊活動觀察到的郵件主旨有:
- [ EMAIL USERNAME ], The disclosure of [ REDACTED ] secret weapon deals with the Middle East
- [ EMAIL USERNAME ], I heard about the consolidation of [ REDACTED ], is that true?
- [ COMPANY NAME ] is in the unpromising situation after acquisition by [ COMPANY ]
- Invitation Letter to [ REDACTED ] 2012
- some questions about [ REDACTED ]
- China - Russia Joint Military Exercises
- FOR more information
而此次攻擊活動中的電子郵件夾帶惡意程式的檔案名稱範例如下:
- Consolidation Schedule.doc
- [ COMPANY NAME REDACTED ]. doc
- [ REDACTED ] Invitation Letter to [ REDACTED ] 2012
- questions about your course.doc
- military exercise details.doc
當用戶打開夾帶惡意程式的附件時,此漏洞攻擊會透過後台作業發動攻擊,並於螢幕上顯示此文件。惡意軟體作者為此特別編造了一些垃圾文件。有些是從公開新聞資料中擷取的片段訊息,而有些則為研討會邀請函的草稿,而其他則是隨機資料。
迄今所觀察到的惡意攻擊文件與位在中國、韓國,和美國的伺服器進行連線,以獲取必要的數據來完成病毒攻擊。這次攻擊僅針對 Windows IE 上的 Adobe Flash Player 。
賽門鐵克監測到許多相關惡意文件持續在網路上散播,因此建議用戶盡快升級到最新版本的 Flash Player ,以保持最佳安全防護。