黑客是如何对俄罗斯外贸银行实施APT攻击的?

发布时间: 2018-05-22 14:17:29 信息来源:投VC

  【IT168 应用】APT攻击一直以来是企业关注的重点,通常以智能 类似软件的作者们,仍会继续增加对新漏洞利用,所以及时更新补丁至关重要。

  此外,如果出于利益需求,这些攻击平台的作者,也是有可能在黑市上购买未知漏洞,添加利用代码到新版本中。安全厂商面临的形式将更加严峻,需要不断提高主动防御能力,结合机器学习等方式,提高对未知病毒的查杀能力。

  MWI历史回顾

  2013年8月利用CVE-2012-0158 传播Gimemo 勒索软件,攻击者IP在德国,受害者分布在说俄语的国家,这次攻击被认为是捕获到的最早利用MWI进行的攻击。

  紧接着没过多久就发现了添加了CVE-2010-3333漏洞的版本。

  2013年12月,研究人员捕获到新的版本,新版本引入了第三个漏洞CVE-2013-3906。

  2014年6月8日增加了第四个漏洞CVE-2014-1761。

  2014年12月,"FireEye"发现了MWI增加了与服务器通信的模块,被称为MWISTAT。

  2016年7月,研究人员发现,新版本增加了CVE-2015-1641漏洞。

  2016年7月中旬,MWI在黑市的广告中,宣称新版本集成了CVE-2016-4117漏洞(Adobe Flash Player)。

  2016年8月底 发布了MWI8,同时支持以下漏洞。

  表:MWI8支持漏洞

  MWI曾经投递的恶意软件家族

  表:恶意软件家族

  后来MWI软件持续升级,杀软持续查杀,在这种对抗中,软件作者开始限制此软件的使用,要求购买MWI的用户只用在小规模的针对性攻击中,而不能大范围投递恶意邮件。减小被捕获的概率,增加生存时间。

  由于只是小规模针对性投放,外界看来MWI好像是销声匿迹了。然而直到近期又捕获到一个利用了最近比较流行的漏洞CVE-2017-0199的版本,进一步证明了MWI的作者一直在持续迭代更新,犯罪团伙仍在利用此工具进行攻击活动。

交流合作

营销投放联系QQ:717675332

扫描以下二维码加入交流QQ群

扫描加入QQ群
  • 合作伙伴
  • 友情链接
  • 网址导航

Powered by 投VC © 2010-2018 京ICP备15065163号-1