攻擊者以有限的目標式攻擊,利用 Internet Explorer 的零時差漏洞發動攻擊,並在南韓造成影響。這起利用 Microsoft Internet Explorer 指令引擎遠端記憶體損毀漏洞 (CVE-2016-0189) 所發動的攻擊似乎是在網頁上執行,該網頁稱攻擊者使用魚叉式網路釣魚電子郵件或水坑式攻擊危害使用者。
Microsoft 透過其最新的「週二修補程式」發行版本修正了該零時差漏洞。
利用 CVE-2016-0189 所發動的攻擊 攻擊者利用 Microsoft 尚未修補 CVE-2016-0189 漏洞的時機發動攻擊。他們可能透過內含魚叉式網路釣魚電子郵件中的連結,或遭到入侵的合法網站,將使用者重新導向至他處,進而發動攻擊。
該攻擊的登陸頁面所包含的 JavaScript 程式碼,會記錄造訪網頁的使用者所使用的電腦。該程式碼會確認電腦是否為虛擬機器,並判斷電腦上執行的 Internet Explorer、Flash 和 Windows 版本。
接著系統會將這些資訊傳送到以南韓頂層網域 (TLD) .co.kr 為網址的網站。
然後 JavaScript 會接收到以隱晦不明的 VBScript 檔案為形式的攻擊。如果攻擊成功,系統就會從 .co.kr 的網站下載惡意檔案。
檔案下載完成之後,攻擊程式碼即會透過 0x55164975 的值,以 XORing 解密檔案。接著檔案會在電腦儲存為 %Temp%\rund11.dll。
此時的酬載則不明。
南韓受到的衝擊 Internet Explorer 零時差攻擊對南韓造成了衝擊,因為該國相當仰賴這款網路瀏覽器。1999年,南韓推出一道法案,要求線上廠商採用 Microsoft ActiveX 才能使用該地區的 SEED 加密進行交易。而 Internet Explorer 是唯一支援 ActiveX 的瀏覽器。儘管南韓之後計畫取消這項規定,但該地區依然重度依賴這款網路瀏覽器。
這項威脅僅僅只是衝擊南韓的眾多零時差攻擊之一。舉例來說,去年攻擊者以泛稱為 Backdoor.Duuzer 的精密威脅鎖定了南韓各企業。他們透過零時差攻擊散佈 Duuzer 變種,對南韓的文書處理器 Hangul 發動攻擊。
而利用攻擊影響這些南韓企業的動機通常牽涉間諜或破壞活動。據觀察,攻擊者鎖定南韓政府,是為了獲取電腦的遠端存取權、偷竊敏感資料,或抹除硬碟。
賽門鐵克仍會持續調查這次攻擊,並在可行時提供更新。
降低風險 使用者應盡速針對受影響的 Internet Explorer 漏洞安裝修補程式。
此外,賽門鐵克建議使用者遵守下列最佳實務準則,以避免電腦遭受危害:
防護 賽門鐵克藉由以下偵測方式保護使用者免於遭受攻擊:
入侵預防系統