在2012年裡,我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變,之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用,不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯,但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。
Zegost
趨勢科技所發現的一組惡意PDF檔案,藏有上述漏洞攻擊碼的誘餌文章使用的是越南文,檔案名稱也是相同的語言。
這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。
使用Didier Steven的PDFiD工具來分析這PDF檔案,顯示出這兩個PDF檔案非常相似。雖然並非完全相同,但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現,有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。
