2018年11月29日，360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是此次攻击相关样本来源于乌克兰，攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档，该文档使用了最新的Flash 0day漏洞（cve-2018-15982）和带有自毁功能的专属木马程序进行攻击。在发现攻击后，我们第一时间将0day漏洞的细节报告了Adobe官方，Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞，并在官网致谢360团队。

攻击方不惜代价要攻下目标，但同时又十分小心谨慎

从攻击过程看，攻击者通过投递rar压缩包发起攻击，当受害者打开压缩包内的问卷文档后，将会播放Flash 0day文件。触发漏洞后， winrar解压程序将会操作压缩包内文件，执行最终的PE荷载backup.exe。

360安全大脑经过漏洞分析发现，利用代码借助uaf漏洞，可以实现任意代码执行。从最终荷载分析发现， PE荷载是一个经过VMP强加密的后门程序，通过解密还原，我们发现主程序主要功能为创建一个窗口消息循环，有8个主要功能线程，其中包括定时自毁线程。

漏洞文档攻击过程

播放Flash 0day漏洞

目前我们还无法确定攻击者的动机和身份

按照被攻击医疗机构的网站（http://www.p2f.ru） 介绍，该医疗机构成立于1965年，创始人是俄罗斯联邦总统办公室，是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。由于这次攻击属于360在全球范围内的首次发现，结合被攻击目标医疗机构的职能特色，我们将此次APT攻击命名为“毒针”行动。目前我们还无法确定攻击者的动机和身份，但该医疗机构的特殊背景和服务的敏感人群，使此次攻击表现出了一定的定向性。

详细报告，请参阅如下链接：http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html（作者：李经）