首页保安中国黑客克隆了NSA方程组的工具

中国黑客克隆了NSA方程组的工具

研究人员说,中国黑客“克隆”并使用了从NSA Equation Group窃取的Windows的零日漏洞利用多年。

周一,Check Point Research(CPR)说,Jian工具是由美国国家安全局(NSA)Equation Group开发的软件的“克隆”。

黑客团队Shadow Brokers在2017年发布了属于Equation Group的工具和文件,其中一些工具和文件被用来利用流行系统(包括Microsoft Windows)上的错误-迫使他们 供应商问题 紧急补丁和修复程序,使这些工具无用。

同年,微软发布了CVE-2017-0005补丁,这是一个零日漏洞,可能会 用过的 用于扩展权限并完成 系统漏洞.

最初,人们认为,为利用CVE-2017-0005而开发的工具是一支由中国先进的APT团队APT31(也称为锆)开发的工具。

方程组

但是,Check Point现在说,名为Jian的工具实际上是Equation Group使用的软件克隆,自2014年至2017年(漏洞修复之前的几年)一直在积极使用,而不是一个 定制版本 由中国威胁代理商。

据研究人员称,Jian是“ EpMe”的克隆。

据信APT31团队已经获得了访问Equation Group漏洞利用模块(32位和64位版本)的权限,研究人员不确定如何从中文APT获得访问权限。

Jian的研究还揭示了一个包含四个特权扩展漏洞利用的模块,该模块是Equation Group DanderSpritz框架的一部分。

该框架中的两项漏洞利用可追溯到2013年,是零日漏洞。 其中之一是EpMe,而另一种名为“ EpMo”的漏洞自2017年XNUMX月以来已被Microsoft修复。

附表详细说明EpMe的历史/ Jian / CVE-2017-0005

这不是中国APT窃取和重新定位“方程组”工具的唯一示例。 在Symantec在2019年记录的另一起案件中,在Shadow Brokers泄露之前,APT3“ Buckeye”在2016年使用Equation Group工具与攻击相关联。

虽然Buckeye似乎在2017年中期解散了,但这些工具一直使用到2018年-但不知道它们是否已转移到另一个团队。

信息来源:zdnet.com

发表评论

请输入您发表评论!
请在此输入你的名字

spot_img

实时新闻