●概述：
回顧今年3次Flash player 0-day攻擊，均伴隨區域衝突發生，2月於朝鮮半島，6月在中東(卡達交惡四鄰)，11月底烏克蘭與俄羅斯海軍衝突後，旋即爆發Operation Poison Needles(毒針行動)，據信烏克蘭駭客利用Flash的use-after-free漏洞，採取一系列連鎖攻擊，以社交工程誘騙莫斯科Polyclinic No.2醫院職員，開啟office文件(22.docx)後直接觸發弱點，嵌入的惡意Flash物件在受害主機上執行程式碼，獲得管理權並操作command line，解壓縮偽裝之scan042.jpg，再解壓後門程式backup.exe，擁有與NVIDIA顯示卡Control Panel程式一致特徵，相當逼真，且backup.exe能常駐作業系統，蒐集受害主機軟硬體資訊，監控鍵盤滑鼠活動，偵測防毒軟體，苗頭不對還能啟動自毀滅跡，Adobe已迅速反應，於12月5日升級新版，並順帶修補DLL hijacking缺失。儘管該事件影響對像為俄籍人士，然該入侵技術能適用新舊版Windows，且不分與32、64位元，若惡意組織針對Flash player的探勘途徑，加以武裝化，仍形成嚴重威脅，敦請金融、醫療、公務機關火速更新。
●編註：
(1)惡意樣本分析
經研究攻擊者以email寄送rar壓縮檔，內部包裹著誘餌檔22.docx(建檔人：tvkisdsy)，22.docx之內文為7頁的員工問卷表，第一段顯示莫斯科「Polyclinic No.2」醫院院徽，顯然具有魚叉式釣魚特徵。
在22.docx頁首隱藏一個嵌入式Flash Active X control物件，因為看不見，難以察覺，且無論從rar內打開22.docx，或者解壓後再打開，均能執行Flash player播放，故只要按下滑鼠就無法阻止後續探勘，因駭客利用use-after-free瑕疵，多次進行型態混淆，刻意避開ALSR機制，能讀寫記憶體任何位置，亦能規避微軟OS專門配備之DEP(資料執行防護)或CFG(控制流程保護)，執行shellcode。
該惡意Flash物件內記錄著「C:\run.de.swf」路徑字串，入侵意味極重，且shellcode會使用命令列，運行下列命令內容：
C:\WINDOWS\system32\cmd.exe /c set path=%ProgramFiles(x86)%\WinRAR;C:\Program Files\WinRAR; && cd /d %~dp0 & rar.exe e -o+ -r -inul*.rar scan042.jpg & rar.exe e -o+ -r –inul scan042.jpg backup.exe & backup.exe
實際效果就是從原始rar壓縮檔內解出scan042.jpg(還是個壓縮檔)，再從scan042.jpg解出backup.exe，這才是終極payload，而且backup.exe還被VMProtect防禦，阻止逆向工程分析。
(2)後門程式作用
後門backup.exe會在Windows環境扮演NVIDIA顯示卡Control Panel程式，是個永久性排程任務，擁有數位簽章、版本序號、說明訊息等，一應俱全，與真實的NVIDIAControlPanel.exe完全一致，僅size不同，具備8個執行緒：
Thread 0：反分析功能，檢驗程序自身的名稱是否符合hash命名規範，若然則設置自毀旗標。
Thread 1：恢復功能，充當斥候監控用戶，如有鍵盤滑鼠活動，則創建Thread 6。
Thread 2：隨機休眠，與系統時鐘比較，隨機發送WM_COPYDATA訊息，之後會休眠一段時間。
Thread 3：自毀定時器，比較程序中的時間與系統時間行，若系統時間較晚，則設置旗標，執行自毀。
Thread 4：蒐集CPU、記憶體、硬碟、系統版本、用戶帳號等，向C&C(羅馬尼亞IP：188.241.58.68)發送HTTP POST，連線後呼叫RunPayload函數，可執行shellcode或下載文件。
Thread 5：登錄自動執行，首先取得AppData\Local目錄下NVIDIAControlPanel路徑，隨後開啟HKEY_CURRENT_USER下SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder，檢查NVIDIAControlPanel鍵值是否存在，強制修改鍵值02,00,00,00,00,00,00,00,00,00,00,00並啟用。
Thread 6：登錄排程任務，檢查作業系統是否安裝F-Secure, Panda, ESET, Avira, Bitdefender, Norton, Kaspersky等防毒軟體，若然則執行自毀流程，將自身複製到其他目錄並加以偽裝。
Thread 7：判斷作業系統版本後，決定使用ITask(舊版Windows)或ITaskService(Win7以後)，停止假冒NVIDIAControlPanel排程，刪除相關文件，執行自毀。
(3)毒針行動背景
2018年11月25日，烏克蘭軍艦自黑海航經Kerch海峽，與俄羅斯海軍發生衝突，11月29日在惡意軟體分析平台VirusTotal上，發現惡意樣本，樣本提交來源是烏克蘭IP，且設計成Polyclinic No.2醫院職員問卷，因Polyclinic No.2隸屬俄羅斯總統辦公室，專門服務政界、科研要員，刻意針對俄羅斯政要出入之醫療院所，設計社交工程，且技術細節頗謹慎，儘管未證實駭客身分動機，據判斷應是烏克蘭境內組織所為。
(4)攻擊涵蓋範圍
雖該項Adobe Flash Player在野攻擊發生於俄羅斯，但社交工程容易改變型態，其技術本質可應用於所有符合條件之作業系統，後門程式backup.exe能判斷Windows版本，再行控制排程任務，表示無論新舊版本皆具風險，而整個入侵過程所需程序，均支援32位元與64位元，則說明硬體規格不構成探勘之障礙，在完成修補前，全球網路上所有微軟主機皆面臨威脅。