概述

日前，360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击，捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击，并将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招，最终被黑客植入后门木马完全控制电脑。对此，我们及时向微软分享了该0day漏洞的相关细节，并第一时间对该APT攻击进行了分析和追踪溯源，确认其与APT-C-06组织存在关联。

2018年4月18日，在监控发现该攻击活动后，360核心安全事业部高级威胁应对团队在当天就与微软积极沟通，将相关细节信息提交到微软。微软在4月20日早上确认此漏洞，并于5月8号发布了官方安全补丁，对该0day漏洞进行了修复，并将其命名为CVE-2018-8174。在漏洞得到妥善解决后，360于5月9日发布本篇报告，对攻击活动和0day漏洞进一步的技术披露。

中国受影响情况

根据360监测到的数据来看，此次利用“双杀”0day漏洞发动的攻击影响地区主要集中在一些外贸产业活跃的重点省份，受害目标主要是一些外贸企业单位和相关机构。

APT组织情况

APT-C-06组织是一个长期活跃的境外APT组织，其主要目标为中国和其他国家。攻击活动主要目的是窃取敏感数据信息进行网络间谍攻击，其中DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。

在针对中国地区的攻击中，该组织主要针对政府、科研领域进行攻击，且非常专注于某特定领域，相关攻击行动最早可以追溯到2007年，至今还非常活跃。从掌握的证据来看该组织有可能是由境外政府支持的黑客团体或情报机构。

该组织针对中国的攻击时间已经长达10年之久，攻击使用的漏洞和后门技术在不断演进中。根据我们2017年捕获到的数据来看，该组织对我国的攻击主要集中在某些外贸产业活跃的重点省份，主要对外贸易相关的机构和关联机构为攻击目标，进一步窃取相关的机密数据，对目标进行长期的监控。

在十数年的网络攻击活动中，该组织多次利用0day漏洞发动攻击，且使用的恶意代码非常复杂，相关功能模块达到数十种，涉及恶意代码数量超过200个。2018年4月，360核心安全事业部高级威胁应对团队在全球范围内率先监控到了该组织使用0day漏洞的APT攻击，进而发现了全球首例利用浏览器0day漏洞的新型Office文档攻击。

360核心安全事业部高级威胁应对团队在捕获到这一使用0day漏洞的APT攻击后，第一时间向微软进行了信息共享并披露了该漏洞细节。在5月8日微软官方安全补丁发布后，我们发布本文对此次攻击事件进行了详实的披露与分析。

报告详情参阅：http://zt.360.cn/1101061855.php?dtid=1101062370&did=210645168​​​​