Hacking Team 泄密阴影犹存 香港与台湾网站遭攻击

据悉，自7月9日开始，有黑客团队对台湾和香港网站发起攻击，所用工具竟然是Hacking Team泄出的Flash漏洞利用程序PoisonIvy。

Hacking Team 泄密阴影犹存

攻击者首先使用了一个来自Hacking Team泄密文件中的Flash Player exp(CVE-2015-5119)，该利用是7月5日被曝出，而Adobe在7月7日进行了补丁。第二波攻击的武器则是另同样来自Hacking Team的另一个Flash的0day漏洞(cve-2015-5122)。

 中枪的都是热门的

攻击者破坏了台湾当地电视台网站、教育机构、一个宗教研究机构、一个知名政党以及一家在香港很受欢迎的新闻网站。值得注意的是，受影响的网站提供的内容信息都拥有广泛的追随者。例如教育机构网站，是用于为政府雇员提供就业考试的。台湾的电视网络台则已经从事了十年的生产及进口电视节目。

受影响的网站其所有者已经对此知晓;而在本文发布之际，仍有三个站点被盗用。

PoisonIvy以及其他有效负载

我们发现所有遭破坏网站均被注入了一个恶意SWF，使用iframe指向远程访问工具(RAT)PoisonIvy，这里经检测最终有效负载为 BKDR_POISON.TUFW。PoisonIvy是一个在黑市中流行的RAT可用后门，也常被用于有针对性的攻击。这个后门被用于截图、相机图片及音频;记录点击的按与活动窗口;删除、搜索和上传文件;以及执行其他闯入例程。

另一方面，在图片发现攻击政党网站运用的则是一个不同的负载，即TROJ_JPGEMBED.F。这个政党网站将收集的信息发送到与另一个站点 (223[.]27[.]43[.]32)相同的服务器上，由此我们认为该攻击与其他攻击是有联系的。

尽管对于此次是否为有针对性的攻击活动，分析仍在继续，但我们发现了一个嵌入负载中的可疑域名 wut[.]mophecfbr[.]com，该域名同时存在于指挥控制(C&C)之前报道的有针对性攻击列表中。