FireEye：俄國駭客組織正利用Flash及Windows零時差漏洞進行網路間諜活動

資安業者FireEye表示，今年4月13日發現俄國駭客組織APT28利用Adobe Flash與微軟Windows中的零時差漏洞進行間諜活動，並立即通知Adobe及微軟，Adobe很快就釋出更新程式，微軟則仍在修補中。

這項攻擊中與Flash Player有關的漏洞是CVE-2015-3043，Windows的則是CVE-2015-1701。根據CVE-2015-3043的描述，Flash Player在解析一個異常的FLV物件時，就會出現緩衝區溢位，可能導致記憶體錯誤且讓駭客遠端執行程式。Adobe在4月14日即修補該漏洞，也坦承已有針對該漏洞的攻擊程式現身。

至於CVE-2015-1701則是Windows中的權限擴張漏洞，由於正在修補中，尚無詳細的漏洞說明。不過，迄今CVE-2015-1701僅被駭客用來搭配CVE-2015-3043漏洞進行攻擊，因此風險並不高。

FireEye描述了駭客的攻擊流程：當使用者在由駭客掌控的網站上點選特定連結之後，就會被引導至一個含有Flash攻擊程式的HTML/JS啟動頁面，此一攻擊程式利用CVE-2015-3043漏洞並執行shellcode以開始下載與執行其他程式，再藉由微軟Windows的CVE-2015-1701權限擴張漏洞來竊取系統權杖。

FireEye並未揭露受到攻擊的組織，僅說是國際性的政府組織。事實上，去年10月FireEye即曾深入分析APT28駭客組織的特性，有別於中國駭客對可獲得經濟利益的智慧財產權有濃厚的興趣，APT28主要蒐集對俄國政府最有用的情報，從2007年起，該組織就積極鎖定各國政府、軍事，與安全組織的機密資訊，FireEye相信APT28即是由俄國政府贊助的間諜駭客組織。（編譯/陳曉莉）