黑客利用新的Flash 0day来分发间谍软件

  • A+
所属分类:分类阅读

FinSpy--臭名昭着的监控恶意软件凭借Microsoft Office文档提供的新的Adobe Flash零日漏洞实现高成功率入侵目标。

来自卡巴斯基实验室的安全研究人员发现了Adobe Flash中的一个新的零日远程执行代码漏洞,该漏洞正被一群被称为 BlackOasis的高级持续威胁行为体在野外积极开发。

关键型混淆漏洞( CVE-2017-11292跟踪)可能导致代码执行,并影响主要操作系统(包括Windows,Macintosh,Linux和Chrome OS)的Flash Player 21.0.0.226。

研究人员说,BlackOasis是同一组攻击者,他们也负责利用FireEye研究人员在2017年9月发现的另一个零日漏洞(CVE-2017-8759)。

此外,目前的攻击中使用Flash零日的FinSpy有效载荷(CVE-2017-11292)与CVE-2017-8759(这是Windows .NET Framework远程执行代码)一起使用的有效载荷共享相同的命令和控制(C&C)服务器。

到目前为止,BlackOasis已经针对包括俄罗斯,伊拉克,阿富汗,尼日利亚,利比亚,约旦,突尼斯,沙特阿拉伯,伊朗,荷兰,巴林,英国和安哥拉在内的各个国家的受害者。新近发布的Flash零日漏洞至少是2015年6月以来BlackOasis小组利用的第五个零日。

零日漏洞利用Microsoft Office文档,特别是Word附加到垃圾邮件,并嵌入在Word中文件包含一个包含Flash漏洞的ActiveX对象。

该漏洞利用了FinSpy商业恶意软件作为攻击的最终有效载荷。

卡巴斯基实验室的研究人员说:“Flash对象包含一个ActionScript,它负责使用其他FinSpy漏洞利用中的自定义打包程序来提取漏洞利用。

FinSpy是一个非常秘密的监控工具,以前与Gamma Group有联系,Gamma Group是一家英国公司,向全球各地的政府机构合法销售监控和间谍软件

FinSpy也被称为FinFisher,在受感染的系统上具有广泛的间谍功能,包括通过打开其网络摄像头和麦克风,秘密进行现场监控,将受害者类型的所有内容记录在键盘上,拦截Skype通话和文件的过滤。

为了进入目标系统,FinSpy通常利用各种攻击向量,包括钓鱼网络钓鱼,手动安装,物理访问受影响的设备,零日攻击和喷水攻击。

卡巴斯基实验室的主要恶意软件分析师安东•伊万诺夫(Anton Ivanov)表示:“使用最近发现的零日漏洞的攻击是今年以来第三次将FinSpy发布的漏洞利用到零日漏洞。

“以前,部署这种恶意软件的演员滥用了Microsoft Word和Adobe产品中的关键问题,我们认为,依靠FinSpy软件的攻击数量将受到零日攻击的支持,如本文所述的攻击将继续增长。

卡巴斯基实验室报告了Adobe的漏洞,该公司已经发布了Adobe Flash Player版本27.0.0.159和27.0.0.130来解决这个漏洞。

就在上个月,ESET研究人员发现了正在分发FinSpy 的几个流行应用程序的合法下载,例如WhatsApp,Skype,VLC Player和WinRAR(据报在ISP级别被泄露)。

所以强烈建议世界各地的企业和政府机构尽快安装Adobe的更新。

Microsoft也可能会发布一个安全更新程序来修补其产品使用的Flash Player组件。

翻译自https://thehackernews.com/2017/10/linux-privilege-escalation.html 转载请注明来自404安全

发表评论

您必须才能发表评论!