FireEye在周六发布声明称，近期他们发现黑客在一次针对性攻击中使用了2个0-day漏洞来入侵一个“跨国国有企业”。这个企业的涉足领域是APT28小组经常攻击的产业领域。

FireEye说，APT28小组的成员都是高级开发者和黑客，他们主要收集有利于俄俄罗斯的国防和地理情报。FireEye发现APT28小组从2007年开始就在执行网络间谍活动。

FireEye称，他们在2015年4月13日首次发现了这次攻击活动。黑客利用的两个0-day漏洞分别是Adobe FlashCVE-2015-3043漏洞(近期已经修复)和微软Windows CVE-2015-1701漏洞。

FireEye通过分析其攻击技术和C2服务器，认定APT28小组就是这次活动-“套娃行动”的实施者。

虽然黑客使用了2个0-day漏洞，但是仍然没能成功入侵目标。一名FireEye发言人告诉《SecurityWeek》说，FireEye检测到了漏洞植入，所以阻止了入侵攻击。

据FireEye称，漏洞植入过程如下：

用户点击恶意链接

HTML/JS启动页发送Flash漏洞

Flash触发 CVE-2015-3043漏洞，并执行shellcode

shellcode下载并运行可执行payload

可执行payload利用本地权限漏洞(CVE-2015-1701)来窃取系统标记

黑客利用CVE-2015-3043漏洞投放了一个木马。这个木马的某些特性类似于APT28小组的CHOPSTICK后门以及CORESHELL木马(我们在《APT28白皮书》说明过这两个恶意软件)。

FireEye称：“新payload使用的一个C2地址是87.236.215[.]246，疑似是APT28使用的一个域名ssl-icloud[.]com同样对应着这个C2地址。”

Payload中包含一个微软 Windows本地权限漏洞(CVE-2015-1701)，微软目前还没有修复这个漏洞。但是这个漏洞不会影响Windows 8及之后的版本。

FireEye在文章中写到“虽然，微软还没有发布漏洞修复补丁，但是只要更新Adobe Flash到最新版就能避免漏洞攻击。我们发现漏洞CVE-2015-1701 只能与CVE-2015-3043配合使用。微软也正在修复漏洞 CVE-2015-1701。”“我们发现漏洞CVE-2015-1701 只能与CVE-2015-3043配合使用。微软也正在修复漏洞 CVE-2015-1701。”

“因为CVE-2015-3043已经被修复，所以只要修复了系统就能阻止远程的代码执行，”FireEye说，“如果黑客想要使用CVE-2015-1701漏洞，他们首先需要在受害人的系统上执行代码。所以除了授权访问受害人的系统，黑客必须寻找其他的方法，例如创建一个新的Flash漏洞来投放CVE-2015-1701 payload。”

在这周，Trend Micro发布了一篇报道来说明最新的活动“网络风暴活动”，他们认为APT28小组也是这个活动的操纵者。Trend MIcro在最新的报道中说，这个APT小组使用了全新的服务器，攻击目标指向了白宫和北约成员。

Trend Micro也难以确定APT28小组与俄罗斯政府之间一定存在联系。Trend Micro的高级威胁研究员 Feike Hacquebord在周六的博客中写道“我们发现这个小组也会攻击俄罗斯异见人士和反政府人员以及乌克兰激进分子和军方。这些信息都说明APT28小组可能与俄罗斯政府有关联。”

去年，FireEye成功发现了由APT28小组实施的两起攻击活动，受到攻击的目标包括格鲁吉亚内政部、国防部以及负责给格鲁吉亚军方提供培训的承包商。

(责任编辑：安博涛)