卡巴斯基透露有黑客同時利用Windows 10和Chrome零日漏洞發動攻擊
微軟和谷歌都已經在昨天發佈軟件更新用於修復部分安全漏洞,這其中就包括某個在野外已遭到利用的零日漏洞。這些零日漏洞由卡巴斯基發現但是高級黑客團體早已利用,黑客借助這些漏洞可以直接在計算機上安裝間諜軟件。而經過溯源後卡巴斯基指出無法將攻擊者歸於任何特定攻擊者,但攻擊者使用的部分代碼與拉撒路集團有相似性。拉撒路集團是知名勒索軟件WannaCry的始作俑者,而該集團也被安全公司認為是由北韓資助的國家級黑客團隊。
利用漏洞攻擊韓語新聞網站加載惡意軟件:
卡巴斯基調查後發現最初攻擊者利用某韓語新聞網站的漏洞嵌入惡意腳本,當用戶瀏覽該網站時就會加載該腳本。
而這個惡意腳本里有代碼是專門針對Google Chrome 的,黑客利用的漏洞是谷歌官方此前並未發現的零日漏洞。
惡意腳本被加載後會再調用Win32K 安全漏洞下載並安裝惡意軟件,該惡意軟件會自動連接遠程服務器獲取指令。
也就是說主要用戶瀏覽這個韓語網站就會被感染惡意軟件,在這期間不需要用戶執行任何交互動作即可完成攻擊。
#攻擊者將惡意腳本偽裝成流行的jQuery庫卡巴斯基稱這次攻擊事件為Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery -validates.js"></script>
潛在攻擊者可能是拉撒路集團:
卡巴斯基在經過溯源和分析後表示沒有確切證據能夠將此次攻擊事件與任何已知的高級持續性威脅團體關聯起來。
但攻擊者使用的相關代碼與拉撒路集團有非常弱的相似性,這表明潛在的攻擊團體可能是名聲在外的拉撒路集團。
拉撒路集團曾發動過多次知名的網絡攻擊,包括WannaCry勒索軟件、孟加拉國家銀行失竊案、遠東銀行失竊案。
而該集團也被證實是北韓資助的國家級黑客組織,這次攻擊的載體是韓語新聞網站也就是說主要目標是韓國用戶。
因此按常理推測的話此次攻擊是拉撒路集團發動的可能性非常大,不過卡巴斯基稱暫時沒有足夠多的確切的證據。
卡巴斯基認為相關攻擊代碼與拉撒路集團有非常弱的相似性也可能是其他攻擊者試圖將調查視線轉到拉撒路身上。
微軟已經在例行更新中修復漏洞:
事實上這次安全漏洞不僅影響Windows 10,據微軟官方說明所有受支持的Windows版本包括服務器版均受影響。
出現安全漏洞的依然是最近非常熱門的Win32K組件,該組件從去年年底到現在已經被發現多個高危的零日漏洞。
微軟表示攻擊者藉助此漏洞可以在內核模式下運行任意代碼,包括安裝軟件、刪改數據或新增同權限的用戶賬戶。
受影響的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。
當然Windows 7 SP1之前的版本例如XP以及Windows 10已經停止支持的版本比如1803之前的版本也會受影響。
不過這些已經停止支持的版本並沒有安全更新用於修復漏洞,所以建議用戶們還是儘早升級受支持的版本比較好。
谷歌也已經修復零日漏洞:
這次攻擊者同時利用Windows操作系統和Google Chrome漏洞比較罕見,不過現在這個漏洞利用方式已被封堵。
谷歌瀏覽器開發團隊在接到卡巴斯基報告後已經及時修復漏洞,用戶只要開啟自動更新就可以自動升級到最新版。
目前谷歌瀏覽器在國內已經部署服務器可以提供更新,用戶也可以點擊這裡訪問中國官網下載谷歌瀏覽器安裝包。