俄罗斯 APT 28 组织(Fancy Bear)利用微软 DDE 机制分发恶意软件

McAfee 安全专家发现俄罗斯 APT 28 组织(Fancy Bear)利用最近曝出的微软 DDE 机制分发恶意软件,发起攻击活动。DDE 是一种动态数据交换机制,可以在应用之间进行数据交换。利用 DDE 机制,一个 Office 应用可以从另一个 Office 应用中下载数据,目前 DDE 已经被 DLE 替代,但微软依然支持 DDE 机制。因此,攻击者可以利用 DDE,无需用户交互就可执行 Office 文档内置的恶意代码。

在此次检测到的攻击活动中,攻击者利用恶意文档分发第一阶段的 payload,标记为 Seduploader(也叫 GAMEFISH 后门或 Sofacy 等),主要包含一个分发器和一段 payload。此前也有攻击者利用 Seduploader 攻击 NATO, APT 28 组织更是常年使用这个工具。就研究人员的观察来看,APT 28 近期很活跃,针对个人、企业组织都发起过攻击。

对于 DDE 被用于恶意活动,微软表示,DDE 本身是个合法的功能,不可能发布补丁,不过目前有相关的保护和缓解方式,感兴趣的用户可以点击这里(https://technet.microsoft.com/en-us/library/security/4053440?f=255&MSPPError=-2147217396)查看。

转自FreeBuf,如有侵权,请留言告知,我们将尽快处理!
云锁-服务器必备安全软件。
发表于 7 天前 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 0 条回复!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题

QQ|论坛首页|站点统计|小黑屋|云锁论坛-服务器安全技术讨论专业论坛、云锁软件技术讨论 ( 京ICP备14002707号-3  

GMT+8, 2017-11-20 05:30 , Processed in 0.225660 second(s), 26 queries .

Powered by 云锁

© 2014-2018 JOWTO Inc.

快速回复 返回顶部 返回列表