美高梅官方网站66159

朝鲜在韩国Win7文字处理软件中植入后门程序,并利用HWP里的一个漏洞

作者:新闻公告    来源:未知    发布时间:2020-04-21 17:36    浏览量:

安全机构FireEye发布报告称,来自朝鲜的黑客近日利用零日漏洞,攻陷了韩国版的Office Word——Hangul Word Processor (HWP)。这可是韩国政府普遍使用的文字处理工具据悉,这个漏洞的编号为(CVE-2015-6585),已于本周一被修复。

Win7之家:FireEye:朝鲜在韩国Win7文字处理软件中植入后门程序

图片 1

IT之家讯美国知名网络安全公司FireEye 研究表明,朝鲜利用已知“零日”漏洞,向韩国知名文字处理软件Hangul Word Processor植入后门程序。HWP在韩国政府部门广泛应用。

朝鲜黑客用它制作了一系列恶意的.hwpx文件(类似Word .docx),并利用HWP里的一个漏洞,打开了它的后门“HANGMAN”。

▲韩国文字处理软件HWP

利用这一后门,黑客可以窃取文件,并向受害者的电脑下载新的恶意文件。它甚至使用的是SSL加密传输协议,无从追踪。

据悉,该漏洞代号为CVE-2015-6585,已于9月7日修复。该漏洞可被用于发送恶意.hwpx文档,当使用HWP打开时,会在软件中植入后门程序。

是什么让FireEye怀疑这是朝鲜所为呢?报告称,这次攻击使用的一个IP地址此前曾出现在另一个后门MACKTRUCK之中,而且HANGMAN代码里的部分功能也和PEACHPIT后门里的类似。

根据FireEye 的消息,该后门名为HANGMAN,可用于盗取用户文件,并上传到C&C服务器,也可用于向宿主电脑发送文件。该后门程序制作精良,使用SSL加密其与C&C服务器的会话,可隐藏数据传输过程。

PEACHPIT、MACKTRUCK后门的攻击对象也是韩国政府机构。

无独有偶,HANGMAN使用的IP地址曾经被另外一个后门程序MACKTRUCK利用,并且HANGMAN的某些功能代码还与之前的PEACHPIT后门十分接近。这家安全公司称,这两个使用过的后门程序都曾被朝鲜政府利用。

转自:    

FireEye认为,从这些证据来看,HANGMAN后门主要针对韩国政府部门设计,并且所用代码与之前类似,因此本次漏洞植入行为很有可能是朝鲜方面发起的。

FireEye后门检测报告:

更多新闻推荐

Copyright © 2015-2019 http://www.77zhth.net. 美高梅官方网站66159有限公司 版权所有