【安全资讯】APT31复制和使用方程式0-day

“EpMe”是Equation Group在2013年左右针对Windows系统所创建的零日漏洞（CVE-2017-2005）利用程序。方程式组织（Equation Group）是一个由卡巴斯基在2015年披露的尖端网络犯罪组织，该组织至少在2001年就开始活跃，Equation Group与美国情报机构的TAO部门建立了联系。

该漏洞用于访问目标设备后用于升级Windows用户特权，因为它是一个本地特权升级（LPE）错误，影响运行Windows XP到Windows 8的设备。

APT 31（也称为Zirconium）通过复制从Equation Group窃取的EpMe漏洞利用程序功能来建立他们的漏洞利用程序，并将其称为“Jian”。

根据Check Point研究人员的说法，APT31组织之所以能够窃取Equation Group漏洞利用样本，可能是通过以下其中一种方式完成的：

-    在Equation Group针对中国目标的操作期间捕获。

-    在方程式针对第三方网络的操作期间捕获的，APT31对其进行了监视。
-    APT31组织针对Equation Group基础设施的攻击中捕获

2017年，影子经纪人组织发布了属于Equation Group的工具和文件，其中一些工具和文件包括Microsoft Windows在内的未知可利用漏洞，同年，微软发布了针对CVE-2017-0005的补丁程序，该补丁程序是Windows XP中针对Windows 8操作系统的零日漏洞，可用于特权提升。

最初，人们认为是APT31组织创建了利用CVE-2017-0005的工具，该工具被称为Jian。就在近日，研究人员称，名为Jian的工具实际上是Equation Group使用的工具的克隆，这个工具被称为“ EpMe ”，并且在2014年至2017年（漏洞修复之前的数年）得到了积极利用。

事件时间表详细说明了EpMe / Jian / CVE-2017-0005的故事

研究人员称，APT31的“ Jian”或Equation Group的“ EpMe”，这两种利用版本均旨在提高攻击者在本地Windows环境中的特权。

对Jian的调查还暴露了一个模块，其中包含四个特权提升漏洞，这些漏洞是Equation Group的DanderSpritz开发后框架的一部分。

该框架中的两个漏洞可以追溯到2013年，都是零日漏洞。其中一个漏洞是EpMe，而另一个被称为“ EpMo”的漏洞似乎已在2017年5月被Microsoft修补，但未分配CVE。其余的漏洞代号为EIEi和ErNi。