网络间谍团伙FruityArmor正使用最新的Windows 0day漏洞通过畸形字体文件攻击目标用户电脑。
该漏洞为CVE-2016-3393,是微软GDI(Graphics Device Interface,图形设备接口)组件中的漏洞,攻击者能够利用该漏洞在受影响的设备上运行代码,控制用户的操作系统。
微软10月11号修复了该漏洞,安全补丁为MS16-120。该漏洞由卡巴斯基研究人员在发现攻击活动中发现。
卡巴斯基新技术率先发现0 day漏洞
通过卡巴斯基研究人员Anton Ivanov了解到,此次漏洞的发现要归功于部署于他们软件中的一组新技术。
利用同样的技术,卡巴斯基还发现了另外三个0day漏洞,都是关于Adobe的Flash播放器的:CVE-2016-0165、 CVE-2016-1010、 CVE-2016-4171。
通过浏览器提供0day漏洞链
卡巴基斯专家表示FruityArmor团伙通过诱骗用户访问一个恶意网站攻击目标,该恶意网站包含有基于浏览器的漏洞。如果初始的浏览器漏洞利用成功,攻击将继续利用CVE-2016-3393漏洞。
随后以模块的形式直接运行在内存中。模块的主要目的是打包一个含有CVE-2016-3393漏洞的特制TTF字体。打包后,在AddFontMemResourceEx的帮助下,该模块从内存中直接加载代码。成功利用CVE-2016-3393后,第二阶段以更高权限运行一个PowerShell脚本,与C&C服务器进行联系。
至于FruityArmor APT,卡巴基斯表示该团伙因迷恋使用PowerShell区别于其他网络间谍组织。
FruityArmor仅使用基于PowerShell的恶意软件,甚至恶意软件收到的命令也是PowerShell脚本的形式。