微软Office入侵：政府黑客利用Word漏洞和FinSpy对俄罗斯发动网络攻击

微软Office入侵：政府黑客利用Word漏洞和FinSpy对俄罗斯发动网络攻击，4月14日讯 根据美国知名安全公司火眼(FireEye)公司的说明，昨天刚被修复的一项微软Word安全漏洞曾被某政府黑客组织用来对俄罗斯目标进行恶意软件感染。目前，此轮攻击活动的来源尚不明确，但基本可以肯定是民族国家支持型黑客所为。

该攻击活动利用到微软Office中的一项0day漏洞，当时这项漏洞尚未被安全业界发现。

据称，这项现已得到修复的漏洞允许黑客向受害者发送包含恶意程序的Word伪造文档，并借此实现远程恶意软件安装。

该攻击能够绕过微软Office与Windows的多种内置安全应对系统，意味着其无法被常规防御机制所阻止。在安全企业Proofpoint公司进行的攻击测试当中，发现只要用户尝试打开该文档，此漏洞即会生效。而一旦微软Office被启动并尝试读取此文件，亦将立即受到感染。

在这起明显是由政府支持的黑客攻击活动中，攻击方向俄罗斯受害者发送了一系列伪造文件，其中包括一份俄语版本的俄罗斯军备手册以及一份列出“七大热门黑客手段”的文件。这些伪造文档还绑定FinSpy间谍工具，本文源自E安全后者由来自德国的监控厂商Gamma Group(该公司主要向国家支持型黑客出售各类可用于间谍活动的恶意软件)开发完成。

这一利用FinSpy实施的攻击最早可以追溯到今年1月27日，而最新确认的案例发生于3月，意味着此微软Word安全漏洞在修复前数个月早就被恶意人士发现并利用。

除了政府支持型攻击者，其他网络犯罪分子也在使用这项漏洞。根据FIreEye公司的调查，攻击者们所使用的LATENTBOT恶意软件就用到了同一项微软Word漏洞以清空用户凭证，而这一攻击行为很可能出于经济利益的驱使。

这项0day漏洞于上周被McAfee公司披露之后，随即出现一大波以垃圾邮件为载体向用户发送微软Word文档的行为。一旦将此类文档打开，Dridex恶意软件立即会被安装在用户的设备上，该恶意软件常被用于窃取银行凭证。

这项0day漏洞目前已经被微软方面修复，不过用户需要下载并安装最新修复补丁。如果尚未安装补丁，那么您仍有可能受到此类攻击的影响。