PROMETHIUM和NEODYMIUM是从2012年开始活跃的两个独立的APT组织,他们只针对个人用户进行攻击。这两个组织所使用的技巧有所不同,但在0day漏洞利用方面有很强的联系。
微软公开纰漏了这两个攻击组织,并称这两个攻击组织虽然相互独立,但其可能有相同的背景。例如:这两个攻击组织为一个政府机构工作,但是属于两个独立部门。在这种情况下,将两个组织放在一起进行追踪会受到一些影响。例如攻击组织的任务发生变化时,攻击的目标就会发生变化。
微软发现PROMETHIUM和NEODYMIUM使用不同的技战术和攻击工具。PROMETHIUM通过社交软件传播恶意软件Truvasys以获取目标用户的系统权限。PROMETHIUM诱导用户访问恶意URL,用户访问后会触发0day漏洞:Adoble Flash插件漏洞CVE-2016-4117。
而NEODYMIUM使用的恶意软件为Wingbird,通过向目标用户发送带有恶意RTF文件的钓鱼邮件获取目标用户的系统权限。RTF文件中包含嵌入式的SMF Flash用于触发CVE-2016-4117漏洞。
https://download.microsoft.com/download/E/B/0/EB0F50CC-989C-4B66-B7F6-68CD3DC90DE3/Microsoft_Security_Intelligence_Report_Volume_21_Parallel_Zero-day_Attacks_English.pdf
https://attack.mitre.org/groups/G0056/
https://attack.mitre.org/groups/G0055/