卡巴斯基實驗室：亞太地區多國外交機構發現Danti木馬

據Symantec第21期互聯網安全威脅報告顯示，被發現的零日漏洞數目近年持續增加，2015年的數目更較前一年增長125%，而且網絡罪犯製作攻擊套件（Exploit Kit）的速度亦日益加快。

資訊安全解決方案供應商卡巴斯基實驗室，近日便進行了針對亞太及遠東地區，網絡間諜攻擊行為的監控，從中發現一個共同特徵：多個攻擊組織為了令用戶受到感染，使用安全漏洞CVE-2015-2545進行攻擊。該漏洞存在於Microsoft Office，在2015年已經被修復，卻仍然被網絡罪犯利用，現時已知道使用該安全漏洞的組織有Platinum、APT16、EVilPost和SPIVY，還有新加入的網絡間諜組織Danti。

利用已知安全漏洞

過去，網絡間諜組織普遍透過零日漏洞進行攻擊，但是近年情況有所變化，卡巴斯基實驗室發現網絡間諜組織有傾向使用已知的安全漏洞的趨勢，貪圖其成本較低，而且感染率有不俗的效果。這次CVE-2015-2545的安全漏洞就是例子之一，該漏洞允許攻擊者使用一種特殊的EPS圖片文件執行任意代碼，利用PostScript技術繞過Windows的地址空間佈局隨機化（ASLR）和數據執行保護（DEP）等保護手段，屬於風險非常高的程式。

釣魚電郵傳播病毒

而參與使用CVE-2015-2545安全漏洞的Danti，其假冒印度多個高級政府官員發放電郵，透過釣魚電郵傳播病毒，一旦成功入侵，Danti的後門程式便會安裝在受感染的系統上，藉此竊取其中的敏感資料，卡巴斯基實驗室已在多國外交機構檢測到Danti木馬的存在。現階段Danti的背景未明，但是卡巴斯基實驗室的研究人員懷疑他們與其他網絡間諜組織Nettraveler和DragonOK有關，據稱，這些組織幕後為使用中文的黑客。

卡巴斯基實驗室的研究人員還發現，有來源不明的病毒同樣使用CVE-2015-2545的安全漏洞，針對性攻擊台灣和泰國，病毒隨後被命名為SVCMONDR，它與Danti的木馬不同，但是在功能上則與其他攻擊組織的木馬相似。

根據卡巴基斯實驗室亞太區研究中心首席安全專家Alex Costev預計，往後將會發現更多同類安全漏洞的攻擊，此現象顯示了兩項要點：第一，攻擊者盡量避免投入太多資源研發複雜的攻擊工具。第二，政府機構和受攻擊企業的補丁率很低。卡巴斯基實驗室建議企業重視IT設備的補丁管理，以保護自身不受已知的安全漏洞所威脅。