原标题：为了干掉战斗民族，它使出了自爆的0day漏洞

曾经一奶同胞的铁哥们儿，如今却反目成仇！

俄罗斯和乌克兰都曾经是苏联的加盟国，自打2014年发生克里米亚危机后，这原本“哥俩好”的两国关系迅速降至冰点，双方曾一度剑拔弩张。

这不，直到现在这俩倒霉兄弟也没消停着——11月25日，乌克兰海军三艘军舰穿越俄罗斯边境向刻赤海峡航行。对峙期间，俄罗斯船只向乌克兰军舰开火并将其扣押，这正是轰动一时的“刻赤海峡”事件。

事发后，就在大家以为在国际压力下，两国将进行协商而平息矛盾的时候，乌克兰国却突然宣布进入全面战备状态。死对头亮剑，俄罗斯哪能甘拜下风？随后，俄罗斯便在克里米亚半岛部署了第4个S-400“凯旋”防空导弹营，两国之战一触即发。

更有媒体猜测，此次事件似乎是乌克兰现任总理波罗申科为赢得新一届总统选举有意为之：为了让事件第一次就能炸雷，波罗申科愣是在G20峰会前几天自造“刻赤海峡事件”，使得美国总统特朗普被迫取消了原定在峰会上与普京的会晤。

美国：作，继续作，俩倒霉玩意儿~

然而......还没完！12月4日，雷锋网获悉360高级威胁应对团队于11月29日在全球范围第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是，此次攻击相关样本来源于乌克兰，攻击目标则直指俄罗斯联邦总统事务管理局。

又作？接到消息后，八卦的雷锋网赶紧找到好朋友360集团助理总裁郑文彬聊了聊，对此次APT攻击事件的来龙去脉做了个全面了解。

玩儿“自毁”的Flash 0day漏洞

此次APT（高级持续性威胁）攻击被360称作“毒针”行动，行动以一份使用了最新Flash 0day漏洞cve-2018-15982和带有自毁功能专属木马程序的俄文内容员工问卷文档为开端，攻击过程主要分为三个阶段：

1>攻击者通过投递rar压缩包发起攻击，打开压缩包内的诱饵文档就会中招；

漏洞文档攻击过程

2>当受害者打开员工问卷文档后，将会播放Flash 0day文件；

播放Flash 0day漏洞

3>触发漏洞后，winrar解压程序将会操作压缩包内文件，执行最终的PE荷载backup.exe；

漏洞执行进程树

不过，这Flash 0day漏洞究竟有何神通竟被选中对具备极高敏感度的俄罗斯联邦总统事务管理局展开攻击？

原来，此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞。利用代码借助该漏洞，可以实现任意代码执行。从最终荷载分析发现， PE荷载是一个经过VMP强加密的后门程序。解密后发现，主程序主要功能为创建一个窗口消息循环，有8个主要功能线程，其中包括定时自毁线程。

也就是说，这玩意儿它带“自毁”功能。

郑文彬告诉雷锋网，此次攻击木马的定时自毁线程可以在完成攻击任务之后将电脑中存留的木马病毒、日志以及存留的痕迹全部销毁。实际上，360安全大脑发现漏洞的过程就像在做拼图游戏，最终目的正是将极度碎片化的样本通过反推来逐渐还原。”

由此来看，由于攻击本身具备自毁属性，此次360安全大脑在发现漏洞的过程中其操作难度自然也会增加不少。

不是首次？APT攻击早有源头

11月29日下午，360安全大脑所属QEX团队和高级威胁沙箱团队分别通过应对高级威胁的探针技术，云端沙箱首次探测到Flash 0Day漏洞。随后，追日团队对该样本漏洞进行了分析溯源并还原了攻击全貌，最终将其确定为一起针对俄罗斯的APT攻击行动。

漏洞文档内容

据郑文彬分析，利用UAF漏洞，攻击者通过强制GC获得一个垂悬指针进行多次UAF实现任意地址读写绕过ASLR，最后借助HackingTeam泄露代码中的方式绕过DEP/CFG，执行shellcode。

也就是说，此次发起APT攻击的攻击者很可能是个“惯犯”，而上一次遭殃的正是这家名为HackingTeam的意大利军火商。