Win7之家( afsion.com.cn):FireEye:朝鮮在韓國(guó)Win7文字處理軟件中植入后門程序
IT之家訊 美國(guó)知名網(wǎng)絡(luò)安全公司 FireEye 研究表明,朝鮮利用已知“零日”漏洞,向韓國(guó)知名文字處理軟件Hangul Word Processor(HWP)植入后門程序。HWP在韓國(guó)政府部門廣泛應(yīng)用。
▲韓國(guó)文字處理軟件HWP
據(jù)悉,該漏洞代號(hào)為CVE-2015-6585,已于9月7日修復(fù)。該漏洞可被用于發(fā)送惡意 .hwpx文檔(HWP文檔),當(dāng)使用HWP打開時(shí),會(huì)在軟件中植入后門程序。
根據(jù) FireEye 的消息,該后門名為HANGMAN,可用于盜取用戶文件,并上傳到C&C服務(wù)器,也可用于向宿主電腦發(fā)送文件。該后門程序制作精良,使用SSL加密其與C&C服務(wù)器的會(huì)話,可隱藏?cái)?shù)據(jù)傳輸過程。
無(wú)獨(dú)有偶,HANGMAN使用的IP地址曾經(jīng)被另外一個(gè)后門程序MACKTRUCK利用,并且HANGMAN的某些功能代碼還與之前的PEACHPIT后門十分接近。這家安全公司稱,這兩個(gè)使用過的后門程序都曾被朝鮮政府利用。
FireEye認(rèn)為,從這些證據(jù)來看,HANGMAN后門主要針對(duì)韓國(guó)政府部門設(shè)計(jì),并且所用代碼與之前類似,因此本次漏洞植入行為很有可能是朝鮮方面發(fā)起的。(Source:FireEye)
FireEye后門檢測(cè)報(bào)告: