Danti席卷亚太，旧漏洞暗藏新危险

蓝天二号

卡巴斯基实验室全球研究和分析团队（GReAT）在过去几个月中，对不同网络攻击团伙针对亚太（APAC）和远东地区的一系列网络间谍攻击行动进行了监控，发现这些攻击的一个共同特征：为了使用恶意软件感染受害者，攻击者通过CVE-2015-2545漏洞利用程序实施攻击。这种存在于Microsoft Office软件中的漏洞已经于2015年底被修补，但现在仍然为网络罪犯所利用。已知的使用这种漏洞利用程序的网络犯罪团伙有Platinum、APT16、EVilPost和SPIVY，最近又有一个被称为Danti的新的网络间谍攻击团伙加入这一行列。

目前，Danti团伙的攻击目标似乎是印度外交机构，但是我们还在多个亚太地区国家检测到该组织的活动迹象，包括哈萨克斯坦、吉尔吉斯斯坦、乌兹别克斯坦、缅甸、尼泊尔和菲律宾。



同其他团伙不同，Danti（和SVCMONDR）所使用的初始入侵工具包中嵌入.EPS文件的DOC文档（假冒的）只包括一个打包的恶意软件下载器二进制文件。同时，该团伙使用的工具表明其攻击非常简单，并且具有高性价比，同卡巴斯基实验室全球研究和分析团队对2016年威胁环境的变化趋势预测不谋而合。

我们再一次发现了利用同样手段的攻击，即利用早就被修补的漏洞进行攻击。而且很明显，这种攻击手段非常成功。

在每个案例中，我们都发现攻击者使用的攻击机制都非常简单，而且攻击情景也很相似，即用户没有及时安装漏洞补丁，导致系统的大门向攻击者敞开。

有很多因素造成企业或组织没有及时修复系统中的安全漏洞。通常，发生这种情况，企业的IT安全部署肯定出现了失误。但是，这种失误往往会由于企业IT安全的复杂性而被放大，因为企业没有足够的资源其处理这些问题。很多企业根本就无法承担雇佣专门的IT安全员工，就算是有足够的资金，很多企业的IT管理人员也会发现自己被很多不同的软件解决方案所扰，因为每个方案都有不同的控制台和管理原则。

解决这一问题的最好手段是选择一款能够对不同IT安全层面提供统一管理的解决方案，包括自动化漏洞管理。这样能够有效减少这一任务的复杂性。

幸运的是，卡巴斯基网络安全解决方案——高级版就是基于这种思路而设计的。在其众多的功能中，有一项系统管理组件[1]，包括自动漏洞评估和补丁管理工具。这一功能意味着企业的软件，不管是操作系统还是应用软件，都能够自动保持更新，为IT管理人员节省大量时间从事其它企业IT安全管理工作。另一个非常重要的优势是多层级安全保护能够提供附加的主动保护技术，全面拦截漏洞利用程序。这种自动漏洞入侵防护功能能够识别漏洞利用程序特征，拦截其行为。网络攻击拦截功能则可以拦截基于网络的漏洞利用程序。

卡巴斯基实验室解决方案的另一个重要安全层面是我们领先的威胁和技术知识

卡巴斯基实验室解决方案能够检测出使用CVE-2015-2545漏洞进行攻击的恶意软件，而且目前只有上述安全厂商的产品能够做到这一点。我们产品的检测结果为：

Exploit.MSOffice.CVE-2015-2545.a

漏洞利用程序释放的后门程序检测结果为：

Backdoor.Win32.Danti.b
Backdoor.Win32.Danti.d

[1] 同时也是一款独立的解决方案 。

dongwenqi

卡巴斯基太棒了