亞洲和非洲銀行遭受零日漏洞攻擊

2025-04-25 10:56:24

卡巴斯基實驗室全球研究和分析團隊發現了一系列似乎使用一種針對InPage文本編輯器的零日漏洞利用程序（一種允許在系統上偷偷安裝其他惡意軟體的惡意程序）發起的攻擊。InPage是一種在全球範圍內被廣泛使用的軟體，尤其是烏爾都語和阿拉伯語用戶和組織。這種漏洞利用程序被用來對多家位於亞洲和非洲的銀行進行攻擊。

InPage被廣泛應用於媒體和印刷行業，此外還包括政府機構和金融機構，例如銀行就使用這種軟體處理波斯阿拉伯文字內容。根據InPage網站，除了印度和巴基斯坦廣泛使用這種軟體外，全球其他國家也有大量用戶，例如英國、美國、加拿大、一些歐盟國家、南非、孟加拉、日本和其他地區。InPage在全球的用戶數量有近200萬。

卡巴斯基實驗室研究人員確認的受攻擊組織位於緬甸、斯裡蘭卡和烏幹達。

這種漏洞利用程序通過包含被感染文檔附件的魚叉式釣魚郵件進行傳播。成功利用漏洞後，惡意軟體會向命令和控制伺服器報告，之後下載合法的遠程訪問工具。有些情況下，惡意軟體會下載基於ZeuS網銀木馬原始碼的惡意軟體。這種惡意工具是金融網絡罪犯最常使用的。

被下載到受感染計算機上的具體惡意軟體工具針對每個受害者各不相同，其下載惡意工具的命令和控制伺服器也各不相同。這一特點再結合其他特徵，使得卡巴斯基實驗室的研究人員認為這種零日漏洞是由多個威脅組織共同使用的。

這並非首次發現利用特定的「本地」軟體在網絡攻擊中感染受害者。2013年，卡巴斯基實驗室研究人員發現Icefog攻擊中就使用了相似的攻擊策略。當時攻擊者使用了惡意HWP文檔，該文檔適用於Hangul文字處理程序，該程序是一種被廣泛應用於朝鮮的文字處理程序。

卡巴斯基實驗室安全專家Denis Legezo表示：「利用全球應用率較低的特定軟體的漏洞實施攻擊，同時針對較窄的目標用戶進行攻擊，是一種很容易理解的策略。攻擊者根據目標的行為調整自己的攻擊策略，開發特定軟體的漏洞利用程序。這類軟體廠商不會像大型軟體公司那樣會全面檢查自己的產品。由於區域軟體不是漏洞利用程序編寫者通常會攻擊的目標，所以軟體供應商對於軟體的漏洞上報反應較慢，而且現有的漏洞也在很長時間內得不到修復。」 

多虧廣泛應用的技術，卡巴斯基實驗室解決方案的用戶早已經得到了針對這種攻擊的保護。這種保護還能夠攔截惡意InPage文檔。卡巴斯基實驗室產品將InPage漏洞利用程序檢測為：HEUR:Exploit.Win32.Generic.

卡巴斯基實驗室研究人員當時還沒有意識到利用InPage漏洞利用程序造成的感染導致了銀行被盜案。但是，這並不意味著這類攻擊沒有發生。所以，安全專家建議金融組織檢查自己的系統是否存在這類威脅，同時部署以下安全措施：

確保使用能夠攔截漏洞利用程序的企業級網際網路安全解決方案，例如卡巴斯基網絡安全解決方案。

教育員工不要打開來自未知和可疑來源的郵件附件或URL連結。

在企業的端點上使用最新版本的軟體。避免使用包含漏洞的軟體。可以使用漏洞評估和補丁管理解決方案自動完成這項任務。

訂閱專業的威脅情報服務，例如卡巴斯基實驗室的APT報告服務，獲取有關最新的可能會對企業或組織發動網絡攻擊的信息。

對員工進行網絡安全知識培訓。導致漏洞利用程序被發現的惡意軟體樣本是在專門製作的Yara規則的幫助下發現的。對安全員工進行培訓，讓他們能夠自己發現惡意軟體，保護企業不受複雜的針對性攻擊危害。