最新打补丁的 Internet Explorer 零日漏洞已被用于攻击位于香港的一家福音教派的网站。赛门铁克遥测技术发现了位于被侵害网站上的漏洞利用,利用 Korplug 后门(由赛门铁克识别并命名为 Backdoor.Korplug)来感染访客。
攻击者入侵了香港福音派路德教会的网站,进行改动,在其中托管了恶意 iFrame,将访客重定向到另一个托管了 Microsoft Internet Explorer 远程内存破坏漏洞(CVE-2015-2502) 的网站。此网站的 IP 地址为 115.144.107.55。
该网站中驻留了名为 vvv.html 的文件,该文件重定向到另外两个名为 a.js 和 b.js 的文件之一,从而将名为 java.html 的文件下载到受害者的计算机。Java.html 会在计算机以名为 c.exe 的可执行文件形式安装 Korplug。
图 1. 香港受侵害网站上驻留的恶意 iFrame
Korplug(也称为 PlugX)是在被感染计算机上维护一个后门的木马程序,用于窃取信息。赛门铁克以前发表了多篇与 Korplug 相关的博客。过去三年中有大量攻击使用了该恶意软件,主要位于亚洲。
图 2. 零日漏洞利用导致 Korplug 感染
昨天,Microsoft 在其 Security Bulletin MS15-093中对新的 Internet Explorer 零日 bug 打了补丁。这一漏洞使得 Internet Explorer 用户在查看特制网页会允许远程代码执行。成功利用该漏洞会授予攻击者与当前用户相同的权限。Microsoft 的安全更新通过修改 Internet Explorer 处理内存中对象的方式解决了这一问题。
防护 赛门铁克和诺顿产品通过下列检测内容,针对此漏洞利用提供保护:
防病毒
入侵防御系统
在这些攻击中检测到的攻击负载包括: