【安全资讯】APT31复制和使用方程式0-day

安恒情报中心 2021-02-23 02:59:11 1105人浏览

EpMe”是Equation Group在2013年左右针对Windows系统所创建的零日漏洞(CVE-2017-2005)利用程序。方程式组织(Equation Group)是一个由卡巴斯基在2015年披露的尖端网络犯罪组织,该组织至少在2001年就开始活跃,Equation Group与美国情报机构的TAO部门建立了联系。


该漏洞用于访问目标设备后用于升级Windows用户特权,因为它是一个本地特权升级(LPE)错误,影响运行Windows XP到Windows 8的设备。


APT 31(也称为Zirconium)通过复制从Equation Group窃取的EpMe漏洞利用程序功能来建立他们的漏洞利用程序,并将其称为“Jian”。


根据Check Point研究人员的说法,APT31组织之所以能够窃取Equation Group漏洞利用样本,可能是通过以下其中一种方式完成的:

-    在Equation Group针对中国目标的操作期间捕获。

-    在方程式针对第三方网络的操作期间捕获的,APT31对其进行了监视。
-    APT31组织针对Equation Group基础设施的攻击中捕获


2017年,影子经纪人组织发布了属于Equation Group的工具和文件,其中一些工具和文件包括Microsoft Windows在内的未知可利用漏洞,同年,微软发布了针对CVE-2017-0005的补丁程序,该补丁程序是Windows XP中针对Windows 8操作系统的零日漏洞,可用于特权提升。


最初,人们认为是APT31组织创建了利用CVE-2017-0005的工具,该工具被称为Jian。就在近日,研究人员称,名为Jian的工具实际上是Equation Group使用的工具的克隆,这个工具被称为“ EpMe ”,并且在2014年至2017年(漏洞修复之前的数年)得到了积极利用。


事件时间表详细说明了EpMe / Jian / CVE-2017-0005的故事


研究人员称,APT31的“ Jian”或Equation Group的“ EpMe”,这两种利用版本均旨在提高攻击者在本地Windows环境中的特权。


对Jian的调查还暴露了一个模块,其中包含四个特权提升漏洞,这些漏洞是Equation Group的DanderSpritz开发后框架的一部分。

该框架中的两个漏洞可以追溯到2013年,都是零日漏洞。其中一个漏洞是EpMe,而另一个被称为“ EpMo”的漏洞似乎已在2017年5月被Microsoft修补,但未分配CVE。其余的漏洞代号为EIEi和ErNi。

失陷指标(IOC)7
APT APT31 Equation Group 漏洞利用 Jian EpMe CVE-2017-0005 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。