微軟Word漏洞再被利用，對以色列目標施以打擊

E安全5月6日訊根據網絡安全專家的報告，與伊朗政府存在關聯的黑客上個月通過最近披露的微軟Word安全漏洞（這一漏洞已經被各類黑客廣泛利用）對250多個以色列目標發起網絡間諜入侵活動。

CVE-2017-0199漏洞涉及眾多網絡攻擊

安全研究人員們將這一黑客組織命名為OilRig，並認為其與伊朗情報部門有所關聯。以色列安全企業Morphisec公司副總裁邁克爾-戈雷利克（Michael Gorelik）解釋稱，其利用存在於微軟Word當中的CVE-2017-0199漏洞以執行遠程計算機入侵，從而在獲取目標設備完整控製能力的同時幾乎甚至完全不留任何痕跡。

本文首發於E安全官網

最近一個月以來，Morphisec公司對多家受害者進行了事件調查。客戶們在自身網絡中發現的取證信息亦被證明與OilRig確有關聯。自今年3月披露以來，CVE-2017-0199迅速被眾多國家支持型黑客與網絡犯罪分子所利用。這一結果亦得到了iSIGHT Partners公司網絡間諜分析師主管約翰-豪特奎斯特（John Hultquist）的確認。

豪特奎斯特指出，“最近確實發現部分攻擊者及其他針對亞洲地區目標的網絡間諜人員利用CVE-2017-0199漏洞。此項安全漏洞在未經修複的情況下會迅速擴散，且目前仍然廣泛存在。”

根據眾多關注以色列網絡並采取不同追蹤戰術的安全行業專家透露，OilRig至少自2015年起即開始活動。

微軟Word安全漏洞被如何利用？

要利用此項微軟Word安全漏洞，目標必須打開或者預覽一份受到感染的微軟Office或者WordPad文件。OilRig將此文件廣泛發送至成百上千個以色列打擊目標處，其中包括多個政府機構與眾多官員。在打開該文件後，OilRig設計的附件將下載Hanictor木馬，而這是一種非文件惡意軟件變體，能夠繞過大多數安全與反病毒保護機製。

本月早些時候，即收到私營企業通知的九個月之後，微軟終於對CVE-2017-0199問題進行了修複。然而，龐大的微軟用戶生態係統規模意味著修複補丁安裝注定呈現出緩慢且可靠性極低的狀態，且相當一部分漏洞在對應補丁發布後仍因未及時安裝可被攻擊者所利用。

OilRig黑客組織如何運用社會工程發起攻擊？

來自華盛頓特區的風險投資商Strategic Cyber Ventures公司CEO湯姆-凱勒曼（Tom Kellermann）解釋稱，“OilRig建立起一條多階段殺傷鏈，旨在滲透以色列的各關鍵性防禦基礎設施。”凱勒曼本人亦是另一家網絡安全企業TrapX公司的主要投資者，該公司主要幫助客戶檢測並抵禦來自伊朗的網絡攻擊活動。

據信，伊朗惡意活動始於一係列發送給本古裏安大學教職員工的網絡釣魚郵件，且之後打擊範圍迅速擴展至以色列的各類技術與醫療公司。本古裏安大學為以色列網絡安全研究中心的所在地，而該網絡安全研究中心則屬於負責開發複雜網絡能力的科研性機構。

戈雷利克表示，目前其正在進行一項調查以更好地了解黑客究竟造成了多大範圍的危害。Morphisec公司於本周四上午針對OilRig攻擊活動發表了技術分析。

根據以色列計算機應急小組於本周三發布的通知，調查人員已經確定黑客於4月16日激活了一係列命令與控製服務器，並利用其發起進攻性網絡入侵活動。戈雷利克指出，第一輪網絡釣魚郵件的發出時間為4月19日，最後一輪則為4月24日。包含惡意軟件的電子郵件主要采用偽造簡曆、考試與假期計劃等主題。

攻擊者如何利用CVE-2017-0199漏洞？

根據美國網絡安全廠商FireEye公司的介紹，通過利用CVE-2018-0199漏洞，攻擊者能夠在用戶打開包含有嵌入惡意代碼的文檔時下載並執行一份內置PowerShell命令的Visual Basic腳本。一旦漏洞遭到利用，有效載荷即可執行來自各類惡意軟件的入侵功能。

FireEye公司此前就曾經發現眾多黑客（包括政府支持型與網絡犯罪分子）利用CVE-2017-0199漏洞對廣泛受害者施以打擊。

今年4月11日，FireEye公司的研究人員們對CVE-2017-0199相關攻擊作出如下描述：

攻擊者將包含嵌入式OLE2嵌入鏈接對象的微軟Word文檔通過電子郵件發送至目標用戶處

當用戶打開該文檔時，winword.exe會向一台遠程服務器發送一條HTTP請求以檢索惡意HTA文件

服務器返回的文件為帶有嵌入式惡意腳本的偽造RTF文件。Winword.exe會通過一個COM對象查找應用/hta文件處理程序，從而導致微軟HTA應用程序（mshta.exe）加載並執行該惡意腳本。

OilRig漏洞利用手段非常罕見，安全人員難以修複

戈雷利克認為該伊朗黑客集團OilRig的技術水平相當先進。

因為這類漏洞利用手段非常罕見。OilRig在此基礎上進行了改進，這是目前發現的最為先進的非文件惡意活動之一。其利用規模龐大的基礎設施實施針對性攻擊，而且由於不存在文件載體，因此其很難被檢測出來。OilRig方麵每次都會重新為該木馬生成端點笱，因此安全人員很難對其進行修複、識別或者清除。

這一由伊朗支持的間諜活動最初於本周三通過一份措辭相當模糊的總理辦公室新聞稿得到披露，其中聲稱以色列新近成立的網絡防禦局（Cyber Defense Authority）協助抵禦了此輪攻擊。

以色列安全企業ClearSky公司CEO勃亞茲-多爾夫（Boaz Dolev）在接受以色列報紙《Haaretz》采訪時表示，“此輪攻擊擁有相對良好的計劃水平且耗費了相當多的資源。很明顯，攻擊之前相關執行者曾收集了針對性情報並精心挑選各以色列計算企業作為攻擊目標。”

E安全注：本文係E安全官網獨家編譯報道，轉載請聯係授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網絡安全媒體和產業服務平台，每日提供優質全球網絡安全資訊與深度思考。