“Watering Hole（水坑）”是用來描述針對性惡意軟件攻擊時，攻擊者入侵合法網站插入一個“偷渡式”漏洞攻擊代碼，借此攻擊網站訪客的流行用語。

當然，這種攻擊并不是最新的。這項技術一直被網絡犯罪份子用在無差別攻擊，以及針對性惡意軟件攻擊上。我在 2009 年和 2010 年記錄了這種技術，而這里有更多最近的例子。

雖然網絡犯罪份子利用偷渡式漏洞攻擊碼是為了能夠不分對象地攻擊入侵更多計算機，而使用這種技術的 APT 高級持續性滲透攻擊活動則被 Shadowserver 恰當地描述為“策略式網站入侵”。目標的選擇是針對攻擊對象會感興趣的特定內容。這種攻擊通常會結合新的偷渡式漏洞攻擊碼。

最近，一個影響微軟 Internet Explorer 的零時差漏洞攻擊碼被發現位于跟 Nitro 攻擊活動有關的服務器上，和最近用來提供 Java 零時差漏洞攻擊碼是同一臺服務器。它們的有效負荷都是 Poison Ivy。第二個放有 Internet Explorer 零時差漏洞攻擊碼的網站很快就被發現，不過它的有效負荷是 PlugX。

整體而言，我們已經發現了至少 19 個網站包含 IE 零時差漏洞攻擊碼。雖然無法完全的確認，但至少有部分網站屬于“水坑”攻擊。

有趣的是，這 19 個網站可以分成 14 組。換言之，除了利用此漏洞的共同點外，他們之間沒有任何明顯的關連。從其中 11 組中，我們發現了 11 種不同的有效負荷（其他三組，我們無法收集到有效負荷）。

除了和 Nitro 相關的 Poison Ivy 還有上面所提到的 PlugX 遠程控制木馬外，趨勢科技發現了其他熟悉的遠程控制木馬，和一些不熟悉的（至少對我來說）惡意軟件。其中一個被識別出的遠程控制木馬是 invitation.{BLOCKED}as.com 的有效負荷，被稱為“DRAT”遠程訪問木馬，這是由“Dark Security Team”所開發的遠程訪問木馬，并且在網絡上被廣泛使用。

DRAT 是一個全功能的遠程訪問木馬，讓攻擊者完全控制入侵的計算機。這個 DRAT 被設定連到 {BLOCKED}le.moo.com（{BLOCKED}.{BLOCKED}.229.82）。

另一個特別的木馬程序出現在被入侵的國防新聞網站，會訪問 Elderwood 攻擊者。這個例子中所使用的加殼程序和 Hydraq 木馬程序所使用一樣的加殼程序，這支木馬程序因為被用在對 Google 和其他 30 家公司的 Aurora 攻擊而惡名昭彰。這支木馬（被稱為“NAID”）也是在 2012 年 6 月被嵌入到被入侵人權組織網站的漏洞攻擊碼的有效負荷。在這個例子中，一個被入侵的國防相關新聞網站被放置了會植入 NAID 木馬程序的 IE 零時差漏洞攻擊碼，進而連到 support.{BLOCKED}b.com（{BLOCKED}.{BLOCKED}.170.163）。

短時間內有多個惡意威脅份子使用相同的零時差漏洞攻擊碼，這可能代表該漏洞攻擊碼被其開發者分享或出售給多個營運商。通常一個零時差漏洞攻擊碼會用在一個特定攻擊活動，再由其他惡意威脅份子所使用，不過是在漏洞修補程序已經被釋出時。這次 IE 零時差漏洞攻擊碼的散布模式卻是為了最大化其影響，讓各營運商在還沒有修補程序發表前都可以針對自己的目標發動攻擊。

注釋：作者Jessa dela Torre /Nart Villeneuve現為趨勢科技資深威脅研究員。