趨勢(shì)科技最新研究發(fā)現(xiàn),Nuclear 漏洞利用(Exp)工具包的最新版本已加入了三月剛剛修復(fù)的Flash Player漏洞(CVE-2015-0336)。
本次Flash嚴(yán)重漏洞僅僅是作為Adobe三月例行更新中被修復(fù)了,Adobe將其軟件版本更新至17.0.0.134。但是我們的反饋顯示很多用戶仍在使用之前的版本(16.0.0.305)。
攻擊過(guò)程
漏洞利用程序(SWF_EXPLOIT.OJF)包括一個(gè)IE修復(fù)工具網(wǎng)站和各種日本色情網(wǎng)站(= =)。一旦中招,用戶會(huì)被定向到一個(gè)著陸頁(yè):
hxxp://_ibalinkmedia[.]com/S0ldSAZRTlpQVV8MXFhfUVcMUx1RW14.html
而這個(gè)頁(yè)面會(huì)立即加載漏洞利用程序(EXP):
hxxp://_ibalinkmedia[.]com/V0tCSEofXU8HAE9UCgBOXVEEXlpcX14AVlpTGlAKX08ABgNLBwAcAABLAQJOBQdXBAQDBgNWA09UWAE.
Nuclear漏洞利用工具包
漏洞利用工具包(EXP)一直是傳播犯罪軟件的重要工具。俗話說(shuō)知己知彼百戰(zhàn)百勝,作為安全研究者,我們必須要完全的了解和分析他們。了解更多漏洞利用工具包
趨勢(shì)安全團(tuán)隊(duì)認(rèn)為,F(xiàn)lash Player現(xiàn)在更頻繁地被漏洞利用工具包盯上并收納。
我們之所以認(rèn)為這是來(lái)自Nuclear Exp是因?yàn)椋菏紫龋懊媪谐龅倪@些URL的樣式與之前的Nuclear攻擊中的一致。其次著陸頁(yè)的內(nèi)容與之前的Nuclear攻擊也是一致的。
著陸頁(yè)的HTML代碼
受害者國(guó)家分布
調(diào)查結(jié)果顯示,全球有超過(guò)8,700用戶訪問(wèn)過(guò)上面的網(wǎng)址。其中超過(guò)90%的受害者來(lái)自日本。
受害者的國(guó)家分布
這次的惡意Adobe Flash exp的SHA1:
d2bbb2b0075e81bfd0377b6cf3805f32b61a922e
安全建議
FreeBuf建議用戶立即更新到Flash Player最新版本。
京公網(wǎng)安備 11010502049343號(hào)