2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为之一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。

然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在之一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。

2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。

操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。

…

更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/

消息来源：paloaltonetworks，译者：dengdeng。
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接