近日,黑客發動APT攻擊(針對特定目標的高級持續性威脅)突襲醫藥行業,著名跨國生物製藥集團“凱萊英醫藥集團”的中英文官網被掛馬。據最先截獲此APT攻擊的360互聯網安全中心透露,黑客使用了包括“勞動節水坑、暴雷”等六個不同的漏洞對凱萊英員工以及網站訪問者進行攻擊。有專家擔憂,這種多漏洞組合攻擊的形式恐被其他攻擊者效仿。
此次APT攻擊所使用的六個漏洞中,有三個爲IE瀏覽器漏洞,其中包括大名鼎鼎的“暴雷漏洞”和“勞動節水坑漏洞”,其餘涉及Office、Adobe PDF Reader和Java運行環境(JRE),這些漏洞大部分都很“年輕”,如微軟在5月中旬纔剛剛發佈“勞動節水坑”漏洞補丁。
值得注意的是,此次APT攻擊方式十分智能,程序會根據訪問者使用的瀏覽器版本、JRE/JDK版本、Office版本和PDF Reader版本跳轉到不同的漏洞攻擊頁面,只要訪問者有任意一個漏洞未修復,就可能被入侵植入後門程序,可以說是“一拖六”的組合攻擊模式。
同時,黑客所使用的漏洞攻擊樣本以及後門木馬也改頭換面,全部經過變形免殺。多引擎在線掃描網站VirusTotal的數據也驗證了這種變形免殺的作用。40餘款各國反病毒引擎中,無一能夠全部檢測出此次凱萊英官網的漏洞攻擊樣本和木馬後門,其中PDF漏洞和JRE漏洞,以及最終的後門程序樣本,則沒有殺毒軟件可以檢出。
目前,攻擊者實施如此高水準的APT攻擊的動機尚不明確,但不排除竊取凱萊英公司及其相關醫藥企業機密的可能。