FinSpy 卷土重來
FinSpy 是一款臭名昭著的網絡間諜工具,而現在它又一次卷土重來,但隨之而來的還有一個新的 Adobe Flash 0 day 漏洞-CVE-2017-11292。
FinSpy又名FinFisher,這款惡意軟件可以在受感染的系統中進行多種網絡間諜活動,其功能包括利用目標計算機的攝像頭或麥克風來對目標人物進行實時監控、監控用戶的鍵盤記錄、攔截Skype通話以及提取指定文件。
FinFisher是一款高度機密的網絡間諜工具,據說該工具由英國公司Gamma Group International研發,而這家公司是一家專門向全世界政府機構出售網絡間諜以及監控工具的技術公司。
Flash Player又曝嚴重漏洞
就在上周,Adobe曾聲稱自己不會再發布任何的安全更新補丁了,因為他們認為自己的Flash Player已經沒有什么地方需要修復的了。但就在六天之后(本周一),該公司針對Flash Player發布了一個緊急安全更新,并修復了產品中存在的一個0 day漏洞。簡直是啪啪打臉…
據了解,該漏洞是卡巴斯基實驗室一位名叫Anton Ivanov的研究人員所發現的,并且及時上報給了Adobe。卡巴斯基在起發表的細節分析報告中指出,這個0 day漏洞(CVE-2017-11292)不僅可以允許攻擊者在目標系統中實現遠程代碼執行,而且還可以允許攻擊者利用間諜軟件來感染Windows計算機。
該漏洞將影響Windows、Linux、macOS和Chrome OS平臺上的Flash Player 27.0.0.159。Adobe在了解到漏洞信息之后,在FlashPlayer v27.0.0.170版本中已修復該漏洞。
此次事件與一個名叫BlackOasis的中東黑客組織有關
卡巴斯基全球研究與分析團隊的負責任Costin Raiu表示,這個漏洞所涉及到的網絡攻擊活動與一個名叫BlackOasis的黑客組織有關。
實際上,BlackOasis這個名字是卡巴斯基的研究人員給一個APT網絡犯罪組織取的名字,研究人員認為這個組織是一個中東國家的黑客組織,并且正在使用這款名叫FinFisher的網絡間諜工具進行大規模的網絡間諜活動。
這并非BlackOasis首次使用Flash Player的0 day漏洞來攻擊目標了,該組織不僅曾在2017年9月份使用過CVE-2017-8759(一個Windows.Net Framework遠程代碼執行漏洞),而且還在2015年6月和2015年6月分別使用過CVE-2016-0984和CVE-2015-5119來發動過攻擊。在去年5月,微軟還曾報道過BlackOasis組織(又名NEODYMIUM)利用Flash Player漏洞CVE-2016-4117來向目標用戶傳播FinFisher惡意軟件。值得一提的是,當時在土耳其境內就有超過80%的用戶受到了感染。
Raiu在發布了 FlashPlayer安全警告 的幾分鐘之后發布了一份報告,并在 報告 中指出:“根據FireEye的 發現,在近期的攻擊活動中(CVE-2017-11292),攻擊者所使用的 FinSpy Payload 的命令控制服務器與 CVE-2017-8759 Payload 的 C2 服務器是一樣的。”
此次網絡釣魚活動使用帶有 Flash 0 day 的 Office 文件進行傳播感染
BlackOasis 在此次的攻擊活動中使用了帶有 Flash 0day Payload 的惡意 Office 文檔來對目標用戶進行感染和攻擊,攻擊者在 Office 文檔中潛入了一個 ActiveX 對象,其中包含 Flash CVE-2017-11292 的漏洞利用代碼。
研究人員解釋稱:
這是一個存在于 ‘com.adobe.tvsdk.mediacore.BufferControlParameters’ 類中的內存崩潰漏洞。如果攻擊者能夠成功利用這個漏洞的話,他們將能夠在目標系統的內存中進行任意讀寫操作,因此攻擊者還將能夠執行第二階段的 shellcode。第二階段的shellcode將會在目標系統中下載并執行最新版本的 FinFisher 間諜軟件,然后獲取一個誘餌文件并將其顯示給用戶以防止引起不必要的懷疑。”
感染成功之后,攻擊者會在目標系統中下載并執行一個名叫 mo.exe 的文件,而這個可執行程序就是偽裝后的 FinFisher 間諜軟件。值得注意的是,最新版本的 FinFisher 引入了幾種新的功能來增加研究人員對其的分析難度。
后話
卡巴斯基實驗室目前還沒有對外公布此次攻擊活動的主要目標用戶,但 Black Oasis 在此前的攻擊活動中,他們的目標主要是中東地區的政治人物,例如聯合國高層、政治活動家以及地方的新聞記者。該組織的主要活動地區也集中在伊拉克、阿富汗、巴林、約旦、沙特阿拉伯、伊朗、荷蘭、英國、俄羅斯、尼日利亞、利比亞、突尼斯和安哥拉等國家和地區。
京公網安備 11010502049343號