Morphisec 警告称，有人利用香港电信公司网站进行攻击，攻击开始使用最近的 Flash 漏洞，该漏洞自 2017 年 11 月中旬以来一直被朝鲜利用。

韩国互联网与安全局（KISA）发布警告提到 CVE-2018-4878 漏洞，并表示漏洞被朝鲜黑客利用后，Adobe 在一周内修补了漏洞。

Morphisec 指出，最近观察到的事件是教科书式的水坑攻击。攻击者在受害者可能访问的网站上植入恶意软件。

由于新的攻击手法没有生成文件，也没有在硬盘中留下痕迹，因此具备更强的隐蔽性。另外它还在没有过滤的端口使用了定制的协议

安全研究人员指出：“一般来说，这种先进的水坑攻击本质上是高度针对性的，应该有一个非常先进的组织在进行支持。”

隐蔽性增强

这次攻击中使用的 Flash 漏洞与先前 CVE-2018-4878 漏洞分析中详述的漏洞非常相似，尽管他们使用了不同的 shellcode。

攻击中的 shellcode 执行 rundll32.exe 并用恶意代码覆盖其内存。这段恶意代码的目的是将其他代码直接下载到 rundll32 进程的内存中。

安全研究人员还发现，命令和控制（C&C）服务器通过 443 端口使用自定义协议与受害者进行通信。

下载到 rundll32 内存的附加代码包括 Metasploit Meterpreter 和 Mimikatz 模块。大多数模块在 2 月 15 日编译，攻击在不到一周的时间里开始。

尽管有这些先进的隐蔽功能，但这次攻击使用了基本的  Metasploit 框架组件，这些组件在攻击之前编译，并且没有混淆，这对攻击的溯源造成了困难。

Morphisec 表示，这次攻击针对几周前的 CVE-2018-4878，而攻击又来自具有国家背景的组织，这些都造成了某种似曾相识的感觉。

(责任编辑：冬天的宇)