金睛为你揭秘APT28是如何干扰法国大选的.PDFVIP

金睛为你揭秘 APT28 是如何干扰法国大选的 事件背景 2017 年5 月10 日，微软发布补丁修复了两个在野Office 0day 漏洞攻击。其中一个漏 洞被APT28 组织 （又称：Sednit，幻熊，Sofacy ）用来发动钓鱼攻击影响法国大选。 VenusEye 金睛安全研究团队对此次APT 攻击所使用的Office 0day 漏洞及漏洞利用流 程进行了详细的分析，全面揭示APT28 组织是如何影响法国大选的。 攻击过程 APT28 组织通过发送一封附件名为Trump ’s_Attack_on_SyriaEnglish.docx(特朗普攻击 叙利亚英文版)的钓鱼邮件对法国大选进行干扰。附件为一个恶意Word 文档，其中嵌入了 恶意PostScript 脚本，脚本通过漏洞执行恶意功能。在Microsoft Office 2010 版本以后，微 软对PostScript 脚本的解析单独放在了低权限的FLTLDR.EXE 沙盒进程中进行处理。为了突 破沙盒进程的权限控制，样本同时还使用了CVE-2017-0263 漏洞进行提权。本报告着重对 其利用的Office 漏洞以及漏洞触发后的shellcode 进行分析。 样本信息 文件哈希