Flash又被爆出0 day漏洞 用于传播FinFisher监控软件
▌作者:Mohit Kumar
▌翻译:360代码卫士团队
臭名昭著的FinSpy监控恶意软件又浮出水面,这次利用的是一个新的且通过微软Office文档传播的Adobe Flash 0 day漏洞,它能感染高级别目标。
漏洞影响主流操作系统
卡巴斯基研究人员从AdobeFlash中发现了一个新的0day 远程代码执行漏洞,正被APT组织BlackOasis(“黑色绿洲”)利用。这个严重的类型混淆漏洞CVE-2017-11292可导致代码执行并影响主要操作系统Windows、Macintosh、Linux和ChromeOS上的Flash播放器21.0.0.226。
漏洞已修复
卡巴斯基实验室将漏洞报告给Adobe后,后者已通过发布Adobe Flash播放器版本27.0.0.159和27.0.0.130解决了这个问题。
强烈建议企业和政府机构尽快安装Adobe发布的更新。微软也可能会发布安全更新修复其产品使用的Flash播放器组件。
“黑色绿洲”组织或是幕后黑手
研究人员指出,“黑色绿洲”即是火狐研究人员在2017年9月发现的利用另外一个0day漏洞(CVE-2017-8759) 的攻击组织。另外,当前利用CVE-2017-11292漏洞的攻击中的最后FinSpypayload(即FinSpy商业恶意软件)跟CVE-2017-8759共享相同的命令和控制服务器。
截至目前,“黑色绿洲”攻击的受害者遍布多个国家,如俄罗斯、伊拉克、阿富汗、尼日利亚、利比亚、约旦、突尼斯、沙特阿拉伯、伊朗、荷兰、巴林、英国和安哥拉。
这次攻击中使用的Flash0 day漏洞是“黑色绿洲”组织自2015年6月起利用的至少是第五个0day漏洞。
FinSpy具有强大的监控能力
FinSpy是一款高度机密监控工具,被指跟一家英国公司“伽马集团(Gamma Group)”存在关联,该公司向全球政府机构合法出售监控和间谍软件。FinSpy也被称为“FinFisher”,它具有多种监控能力,包括打开网络视频和麦克风开展实时监控、记录受害者的按键、拦截Skype通话以及提取文件等。为了入侵目标系统,FinSpy通常会利用多种攻击向量,包括鱼叉式钓鱼、物理接近受感染设备进行手动安装、0day利用代码以及水坑式攻击。
就在上个月,ESET公司的研究人员发现,对多款流行app如WhatsApp、Skype、VLCPlayer和WinRAR的合法下载也会传播FinSpy,据称是在互联网服务提供商层面遭受攻陷。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。