2011年10月，我們記錄了一種有目標的特殊攻擊活動，即Nitro攻擊。在當時的攻擊情況中，攻擊者主要以化工企業為攻擊目標。盡管我們投入精力揭露并公布了這些攻擊幕后的詳情，但這些攻擊者們依然明目張膽，甚至在他們的社會工程活動中使用我們自己的報告！

不過，這些攻擊者們也在快馬加鞭。目前已經觀察到對一種新型Java零日差漏洞的利用正在擴散。我們可以確定，此輪攻擊背后的部分攻擊者正是Nitro團伙。

Nitro攻擊者一貫采用的手法就是向受害者發送一封電子郵件。這封電子郵件包含一個附件，該附件是受密碼保護的自解壓zip文件。這封電子郵件自稱是對經常安裝的軟件中某個組件的更新。淪為攻擊目標的用戶解壓縮并運行該文件后，便會感染Backdoor.Darkmoon（也稱作 Poison Ivy）的一份副本。

在這些最新的攻擊中，攻擊者們形成了一種更為復雜一些的伎倆。他們采用以.jar文件形式寄宿在網站上的Java零時差攻擊方式來感染受害者。正如在之前記錄的攻擊中所表現出來的行為那樣，這些攻擊者們使用 Backdoor.Darkmoon重用命令和控制基礎架構，甚至重用諸如Flash_update.exe之類的文件名。可能這些攻擊者會向鎖定為目標的用戶發送電子郵件，而郵件中則包含了指向惡意jar文件的鏈接。Nitro攻擊者們似乎仍在繼續實施他們之前的惡行。

Oracle已經發布了一款修補程序（即Java SE 7更新 7），此修補程序可解決CVE-2012-4186所述的漏洞。建議用戶下載這項最新更新。

熱點病毒

病毒名：Backdoor.Hikit

病毒類型：Trojan

受影響系統：Windows 98、Windows 95、Windows XP、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Backdoor.Hikit是一種在被感染的計算機上打開后門的木馬。該木馬在運行時，會創建如下文件：%Temp%\w7fw.sys %Temp%\w7fw_m.inf %Temp%\w7fw.inf %Temp%\w7fw.cat之后接著它會釋放一個32位或者64位的驅動（這取決于用戶的操作系統）：

%System%\drivers\W7fw.sys

然后該病毒會用未經驗證的認證引導這個驅動，同時也會修改相應的注冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Non-Driver Signing\"Policy" = "00"

HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates\[HEXADECIMAL VALUE]\"Blob" = "[BINARY DATA]"

該病毒允許遠程攻擊者在被感染的計算機上完成下列的命令：

打開通過SOCKS5 proxy的連接

下載文件到被感染的計算機上

上傳文件到遠程位置

開啟一個command shell

停止執行

資料來源：賽門鐵克互聯網疫情通報