iSight发现俄罗斯攻击北约使用的攻击样本0day CVE-2014-4114

此0day影响所有的windows操作系统（包括windows server 2008和2012），被俄罗斯用于网络间谍活动，主要针对北约、欧盟的电信和能源领域。

微软正在制作这个漏洞的补丁，在14号的补丁包里更新出来，命名为 CVE-2014-4114

主要针对以下目标:

 
北约
乌克兰政府组织
西欧政府组织
能源行业企业(特别是在波兰)
欧洲电信公司
美国学术组织

发现和截获：

Isight一直在跟踪越来越甚的俄罗斯的网络间谍活动。也积极的监控到多只（至少5只)不同任务、不同目标、不同攻击能力的入侵队伍。

例如,我们最近披露的其中的一个团队的活动(称为沙皇团队),它扩散着移动恶意软件。这支球队曾发起了针对美国和欧洲智能社区,军事,国防承包商、新闻机构、非政府组织和多边组织的攻击战。

它也有针对过圣战分子和车臣的叛军。

高水平的沙虫团队(Sandworm Team),来自俄罗斯的网络间谍活动

我们跟踪到这次的CVE-2014-4114攻击来源于另一只俄罗斯队伍，iSIGHT称为“沙虫团队”，是根据其攻击样本和指令里使用的编码引用自经典的科幻小说系列《沙丘》

2014年9月只捕获到此团队的一小部分活动,未能详细捕获到使用的零日漏洞。

iSIGHT伙伴一直在监测沙虫团队从2013年底和2014年全年的活动——这支球队的起源似乎是2009左右。该团队偏爱使用鱼叉式网络钓鱼，以恶意文档附件打击目标受害者。

尤其在乌克兰与俄罗斯的冲突显得更为常见,广泛存在于地缘政治与俄罗斯有关的问题方面目标。

沙虫团队最近使用多种方法捕捉它的目标，包括使用BlackEnergy恶意软件,多达两个已知的漏洞,和这枚新观察到的Microsoft Windows零日漏洞CVE-2014-4114。

漏洞分析：

参见瀚海源的《SANDWORM APT Windows OLE PACKAGE INF 0day来袭》

CVE-2014-4114样本下载:

 
http://pan.baidu.com/s/13x4tC

 解压密码   !qazxsw23edc

研究实验使用 属病毒 切勿主动点击 

   源地址：http://www.isightpartners.com/2014/10/cve-2014-4114/
          翻译和整理：SP小编
          SP地址：http://www.secpulse.com/archives/1373.html