黑客攻击制药企业 360独家拦截

7月25日消息，安全厂商360宣布截获了一起针对制药业的APT攻击，著名跨国生物制药集团“凯莱英医药集团”的中英文官方网站被挂马。安全专家证实，黑客使用了包括“劳动节水坑”“暴雷”等六个不同的高危漏洞试图对访问页面的用户进行攻击并植入后门程序，360安全卫士和杀毒已率先拦截。世界杀毒引擎集合网站VirusTotal检测结果显示，全球各国40余款杀毒软件还无法防御此次黑客攻击。

图：360拦截凯莱英官网挂马攻击

360安全中心在24日晚20：00点率先发现了凯莱英官网出现被攻击的迹象，黑客在受害网站上嵌入了一个链接到zapto.org的恶意站点。令人震惊的是，这并不是一起普通的挂马攻击，360安全专家发现，该恶意站点上竟然使用了六个不同的软件漏洞试图对访问页面的用户进行攻击，意在安装后门程序，进而控制访问凯莱英官网的用户电脑，这是一起有预谋的APT攻击。

公开资料显示，凯莱英是一家大型跨国医药集团，是全美生物医药行业最具发展潜力的企业之一，目前已经在中国投资建立五家公司，经营范围广泛。不排除黑客发动APT攻击窃取凯莱英公司及其相关医药企业商业机密的可能。

据360安全专家分析，此次APT攻击所使用的六个漏洞中，有三个涉及微软IE浏览器，其中包括大名鼎鼎的“暴雷漏洞”和“劳动节水坑漏洞”，其余是涉及微软Office、Adobe PDF Reader和Java运行环境(JRE)的漏洞，这些漏洞大部分为今年刚刚被修补的安全漏洞且经过变形。

而且，黑客用于实施的脚本文件十分智能，会根据访问者的浏览器版本、JRE/JDK版本、Office版本和PDF Reader版本跳转到不同的攻击页面，一旦漏洞利用成功，就会在访问者电脑上安装后门程序。

从杀毒软件测试合集网站VirusTotal的数据来看，其中大部分漏洞样本仅有一到两家的杀毒软件可以检出，其中较新的PDF漏洞和JRE漏洞，以及最终的后门程序样本，则没有杀毒软件可以检出。(详见附录)

安全专家指出，对一家大型跨国药企官网实施如此高水准的APT攻击，幕后黑手的动机令人担忧。此前，Stuxnet(震网)、Duqu和Flame(火焰)等超级病毒的APT攻击均具有较强目的性，曾造成中东等国国家机密泄露，伊朗核电站被攻击等严重后果。

目前，360旗下安全卫士、360杀毒、360浏览器等产品可有效防御此次APT攻击，建议用户，尤其是医药行业从业者选用。

附凯莱英官网挂马攻击所利用漏洞细节：

1、CVE-2013-1347 “劳动节水坑”漏洞

今年五月被发现的微软IE8浏览器漏洞，在六月的微软补丁日中刚刚被修补，当挂马页面发现用户使用IE8浏览器时，会使用这个漏洞进行攻击。截至7月25日上午，VirusTotal上显示45家杀毒软件中仅有一家不知名的俄罗斯杀毒软件(NANO-Antivirus)可检出此漏洞，360网盾可防御此漏洞的攻击

2、CVE-2012-1889：“暴雷”漏洞

2012年度最知名危害巨大微软IE浏览器漏洞，当挂马页面发现用户使用IE6浏览器且在XP SP3操作系统上，或使用IE7浏览器时，使用此漏洞进行攻击。截至7月25日上午，VirusTotal显示仅两家杀软(NANO-Antivirus和Mcafee网关定制版)可检出此漏洞样本(只通过启发检测，无法定位漏洞)，360网盾可防御此漏洞的攻击。

3、CVE-2010-0806

2010年被发现的微软IE浏览器漏洞，当挂马页面发现用户使用IE6浏览器且操作系统是XP SP2及以下时，会使用此漏洞进行攻击。虽然是2010年的漏洞，但样本经过了变形，截至7月25日上午， VirusTotal上显示46家杀毒软件仅一家(Kaspersky)能检出此漏洞攻击样本，360安网盾可防御此漏洞样本的攻击。

4、CVE-2013-0640

今年2月刚被发现的Adobe PDF Reader漏洞，针对安装了Adobe PDF Reader的用户进行攻击。截至7月25日上午，VirusTotal显示没有一家杀毒软件可以检出此漏洞样本。360安全卫士会提示用户开启Adobe PDF Reader的保护模式功能，开启后可防御此漏洞样本的攻击。

5、CVE-2012-0158

2012年发现的Office 2007漏洞，可以通过微软Word或网页触发，是比较流行的Office漏洞，截至7月25日上午，VirusTotal上显示46家杀毒软件有8家可以检出此漏洞样本。

6、未知的JRE/JDK漏洞

今年2月Oracle修复的Java沙盒逃逸漏洞，影响安装了JRE/JDK 7 update11之前、JRE/JDK 6 Update38之前和JRE/JDK 5的用户。由于该漏洞此前从未被公开过(仅被静默修复)，所以无从得知此漏洞的编号，和前面五个已经公开爆出的漏洞不同，这应该是攻击者自行挖掘发现的0day漏洞。由于是未知漏洞，所以在VirusTotal上显示，46家杀毒软件没有一家可以检出此漏洞样本，360网盾可防御此漏洞样本的攻击。