Java零時差漏洞再現，鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm：兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞，這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外，該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015)，此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle， Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外，該漏洞也已列入 CVE 漏洞資料庫當中，編號：CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具，因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中，我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是，這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似，不過當時的網址並未包含這次發現的漏洞。除此之外，Pawn Storm 還會攻擊其他政府機構，並利用一些政治事件和研討會為社交工程（social engineering ）誘餌，如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外，媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。

趨勢科技是透過趨勢科技主動式雲端截毒服務  Smart Protection Network情報網的回報而發現了這項零時差漏洞。我們發現一些針對某北約國家軍事單位和一家美國國防機構的電子郵件挾帶了一些專門攻擊這項 Java 漏洞的惡意網址。

在 Java 的預設設定下，此漏洞一旦攻擊成功，駭客即可執行任意程式碼，進而讓系統陷入危險。趨勢科技將漏洞攻擊程式命名為：JAVA_DLOADR.EFD。此外，趨勢科技還偵測到另一個程式：TROJ_DROPPR.CXC，它會在在當前登入的使用者資料夾中植入 TSPY_FAKEMS.C 檔案。

趨勢科技產品已經能夠防範這項威脅，不需任何更新。趨勢科技Deep Discovery Inspector現有的沙盒模擬分析和程序碼分析引擎 (Script Analyzer) 即可藉由行為來偵測這項威脅。

此外，趨勢科技 Smart Protection Suite 套裝產品中的  Endpoint Security 端點防禦也能透過瀏覽器漏洞防護功能，在使用者連上專門攻擊此漏洞的網站時加以偵測。我們的瀏覽器漏洞防護功能可偵測使用者的系統是否含有專門針對瀏覽器和相關外掛程式的漏洞。

趨勢科技Deep Security可利用下列深層封包檢查 (DPI) 規則來防範使用者電腦遭到此漏洞威脅：

• 1006857 – Oracle Java SE Remote Code Execution Vulnerability (Oracle Jave SE 遠端指令執行漏洞)

其他有關 Pawn Storm 攻擊行動的文章還有：

• Pawn Storm 間諜行動利用誘餌來散布 SEDNIT (Pawn Storm Espionage Attacks Use Decoys, Deliver SEDNIT)
• Pawn Storm 行動：Outlook Web Access (OWA) 使用者陷入危險 (Operation Pawn Storm: Putting Outlook Web Access Users at Risk)
• Pawn Storm 最新消息：發現 iOS 間諜程式 (Pawn Storm Update: iOS Espionage App Found)
• Pawn Storm 攻擊活動激增，鎖定北大西洋公約組織 (NATO) 與美國白宮 (Operation Pawn Storm Ramps Up its Activities; Targets NATO, White House)
• Pawn Storm：兩年來第一個 Java 零時差攻擊，專門攻擊北約組織和美國國防機構 (Pawn Storm: First Java Zero-Day Attack in Two Years Targets NATO & US Defense Organizations)

趨勢科技Deep Security解決方案的相關訊息。

以下是這項威脅相關的的 SHA1 雜湊碼：

• b4a515ef9de037f18d96b9b0e48271180f5725b7
• 21835aafe6d46840bb697e8b0d4aac06dec44f5b

原文出處：
Pawn Storm: First Java Zero-Day Attack in Two Years Targets NATO & US Defense Organizations
Pawn Storm Update: Trend Micro Discovers New Java Zero-Day Exploit

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位，勾選「搶先看」選項。最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。建議也可同時選擇接收通知和新增到興趣主題清單