不仅仅是罪犯，政府也在使用MS Word的0天攻击

现在，事实证明，至少从今年1月起，政府资助的黑客也在积极利用Word（CVE-2017-0199）中之前未公开的漏洞对俄罗斯目标进行间谍活动。

上个月独立发现该漏洞的安全公司FireEye发布了一篇博客文章，揭示了FinSpy早在一月份，间谍软件就已安装，使用的是周二由微软修补的Word中的同一漏洞。

对于那些不知道的人来说，该漏洞（CVE-2017-0199）是Word中的一个代码执行缺陷，当受害者打开包含陷阱OLE2link对象的Word文档时，攻击者可以接管一台经过完全修补的最新计算机，该对象从服务器下载恶意HTML应用，伪装成以微软RTF（富文本格式）创建的文档。

FinSpy或FinFisher与备受争议的英国公司Gamma Group有关联，该公司向世界各国政府出售所谓的“合法拦截”间谍软件。

FireEye研究人员说：“虽然只观察到一名Finspy用户利用了这种零日攻击，但从几个国家使用的Finspy功能的历史范围来看，其他客户也可以使用它。”。

“此外，这起事件暴露了网络威胁的全球性质和全球视角的价值—；针对俄罗斯人的网络间谍事件可以提供一个机会，了解并阻止其他地方针对英语使用者的犯罪行为。”

几个月后的3月，同样的零日漏洞被用于安装Latentbot，这是一个类似于机器人的信息窃取和远程访问恶意软件包，由出于经济动机的犯罪分子使用。

Latentbot具有多种恶意功能，包括凭证盗窃、远程桌面功能、硬盘和数据擦除，以及禁用防病毒软件的功能。

FireEye说，犯罪分子利用社会工程诱骗受害者打开带有通用主题行的附件，如“hire_form.doc”、“！！！！emergency！！！！READ！！！.doc”、“PDP.doc”和“doc.doc”。

然而，在周一，袭击背后的罪犯修改了他们的活动，交付了一个名为特多特，然后安装软件，使用TOR匿名服务隐藏与其联系的服务器的身份。

据FireEye研究人员称，政府间谍用于在俄罗斯计算机上安装Finspy的MS Word漏洞和犯罪黑客在3月份用于安装Latentbot的MS Word漏洞来自同一来源。

这一发现突显出，最初发现这一零日漏洞的人将其卖给了许多参与者，包括买卖零日漏洞的商业公司以及出于财务动机的网络罪犯。

此外，就在周一晚上，Proofpoint的研究人员也发现了一个大规模的垃圾邮件活动，通过利用Word中的相同漏洞，使用Dridex银行恶意软件，针对澳大利亚各金融机构的数百万用户。

FireEye研究人员仍不确定释放Dridex banking特洛伊木马的漏洞的来源，但有可能是McAfee上周披露的漏洞提供了帮助Dridex运营商使用该漏洞的见解，或者是有权访问“漏洞利用”一词的人将其提供给了他们。

微软在周二修补了MS Word漏洞，黑客和政府间谍已经利用该漏洞数月。因此，强烈建议用户尽快安装更新，以保护自己免受正在进行的攻击。