2012年8月28日 星期二

請注意,最新的 CVE-2012-1535 已經廣泛運用於APT惡意文件中

最新的  CVE-2012-1535 已經廣泛運用於APT惡意文件中 !

我知道大家最近都在忙著幫警察伯伯找李X瑞的風雅影片,但是還是得要煞風景地提醒大家 APT的攻擊活動與兼賣賣菜 :)

在 8月 16號, 公布了一個Adobe Flash的弱點 APSB12-18 http://www.adobe.com/support/security/bulletins/apsb12-18.html
也就是 CVE-2012-1535,很快的駭客在1,2天內研發出可利用的Exploit,同時各種產生器也出現在網路上,並開始大量流行於APT攻擊活動中。而Mila 也在 http://contagiodump.blogspot.tw/2012/08/cve-2012-1535-samples-and-info.html 也在8/17 公布了一些研究用的樣本,有興趣的朋友可以看看。

這個弱點攻擊的是 Adobe Flash Player 11.3.300.270,對很多人來說已經是很新的版本,居然也會被攻擊,大家更要提高警覺。

從上禮拜開始,我們客戶陸續回報出這個新攻擊給Xecure Lab, XecMail XecScan 不需要任何更新,就可以在第一時間偵測與分析此新的 Exploit。


已經過了這麼多天了,到目前為止42加防毒業者中僅只6,7家可以偵測,可以辨識CVE編號的只有4家可以偵測此 APT攻擊文件...
在台灣最常用的幾家掃毒幾乎都 GG了,像是政府機關裝最多的趨勢科技、個人用戶最愛的小紅傘、F-Secure、甚至 Macfee與 微軟的掃毒引擎。 全部都不支倒地,挫在等。大廠中只有 Kasperky與 Symantect算是比較認真有在上班的,目前都可以偵測到。

根據許多的研究與駭客討論顯示,請大家特別注意的攻擊還有 Java的 0Day Exploit與mscomctl.ocx (KB2597986 MS12-060) ,很快的會變成下一波 APT的主打歌。

目前正是APT惡意郵件活動的高峰期... 絕對要嚴防豪雨 !!

Birdman,
Xecure Lab