• 發布單位:TWCERT/CC
• 更新日期:2020-03-27
• 點閱次數:527

Pawn Storm：兩年來第一個 Java 零時差攻擊
趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務 Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。
Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞，這是自從 Pawn Storm：兩年來第一個 Java 零時差攻擊
趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務 Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。
Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞，這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外，該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015)，此漏洞已經在 MS12-027 安全公告當中解決。
趨勢科技的研究人員已將漏洞通報給 Oracle， Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外，該漏洞也已列入 CVE 漏洞資料庫當中，編號：CVE-2015-2590。
零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具，因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中，我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。
值得注意的是，這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。
前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴) 在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似，不過當時的網址並未包含這次發現的漏洞。除此之外，Pawn Storm 還會攻擊其他政府機構，並利用一些政治事件和研討會為社交工程（social engineering ）誘餌，如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外，媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。
趨勢科技是透過趨勢科技主動式雲端截毒服務 Smart Protection Network情報網的回報而發現了這項零時差漏洞。我們發現一些針對某北約國家軍事單位和一家美國國防機構的電子郵件挾帶了一些專門攻擊這項 Java 漏洞的惡意網址。
在 Java 的預設設定下，此漏洞一旦攻擊成功，駭客即可執行任意程式碼，進而讓系統陷入危險。趨勢科技將漏洞攻擊程式命名為：JAVA_DLOADR.EFD。此外，趨勢科技還偵測到另一個程式：TROJ_DROPPR.CXC，它會在在當前登入的使用者資料夾中植入 TSPY_FAKEMS.C 檔案。
趨勢科技產品已經能夠防範這項威脅，不需任何更新。趨勢科技Deep Discovery Inspector現有的沙盒模擬分析和程序碼分析引擎 (Script Analyzer) 即可藉由行為來偵測這項威脅。
此外，趨勢科技 Smart Protection Suite 套裝產品中的 Endpoint Security 端點防禦也能透過瀏覽器漏洞防護功能，在使用者連上專門攻擊此漏洞的網站時加以偵測。我們的瀏覽器漏洞防護功能可偵測使用者的系統是否含有專門針對瀏覽器和相關外掛程式的漏洞。
(趨勢科技)

參考連結： http://blog.trendmicro.com.tw/?p=13294