黑客组织DarkHotel(APT-C-06)正在利用Firefox和Internet Explore漏洞针对中国和日本进行攻击

APT小组正在利用今年早些时候在Firefox和Internet Explorer中修复的两个漏洞,针对中国和日本的攻击。 跟踪为CVE-2019-17026的第一个问题影响Firefox浏览器,已在1月解决。 CVE-2019-17026的缺陷是“ IonMonkey与StoreElementHole  和  FallibleStoreElement混淆  ”,其中IonMonkey是Firefox的SpiderMonkey JavaScript引擎的即时(JIT)编译器。 1月,Mozilla确认已意识到利用CVE-2019-17026零日攻击的针对性攻击,但未透露攻击的详细信息。 中国公司奇虎360的安全专家已将该漏洞报告给Mozilla。 专家报告称,攻击者利用CVE-2019-17026零日漏洞以及Internet Explorer零日漏洞,奇虎360专家最初通过Twitter公开了这一发现,但后来删除了该消息。 跟踪为CVE-2020-0674的第二个缺陷是影响Internet Explorer的RCE,Microsoft在2月解决了该缺陷, 根据 网络安全 在奇虎360公司的威胁下,威胁参与者利用了这两个缺陷,然后才被微软解决。 专家指出,这两个漏洞是针对中国政府机构的攻击活动的一部分,并归因于  DarkHotel APT,又名APT-C-06。 奇虎专家还将该组织称为“半岛APT”,这很可能是因为它指的是在韩国运营的APT组织。 日本计算机紧急响应小组协调中心(JPCERT / CC)发布了一份报告,其中包含针对利用这两种漏洞的攻击并针对日本实体的技术细节 “当您使用IE或Firefox定向到攻击站点时,将返回与您访问的浏览器相对应的攻击代码。” 规定了JPCERT。 “此后,如果攻击成功,则将再次下载攻击代码作为代理自动配置文件(PAC文件)。下载的攻击代码以PAC文件的形式执行,并且恶意软件也已下载并执行。”
IE Firefox攻击
利用该漏洞可以将代理自动配置(PAC)文件传送到系统。PAC文件用于在攻击者的控制下通过外部服务器重定向对指定网站的请求。 攻击中使用的最终有效载荷是Gh0st RAT的变体,该Gh0st RAT在与中国有关联的APT团体进行的多次攻击中使用。专家指出的 RAT的源代码在很多年前就被泄露,许多威胁者开始使用它。 “作为验证的结果,已确认此次对IE的攻击将一直执行到在Window 7 x64(已应用2019年12月发行补丁)和Windows 8.1 x64(2020年1月已发行补丁)执行恶意软件之前,没有恶意软件感染发生在Windows 10环境中(应用了2020年1月发行补丁)。” 总结报告。“此攻击中的代码可能与Windows 10不兼容。”
0 0 vote
Article Rating

未经允许不得转载:x-sec » 黑客组织DarkHotel(APT-C-06)正在利用Firefox和Internet Explore漏洞针对中国和日本进行攻击

赞 (1) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x