中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

admin 2022年3月22日10:24:15评论119 views字数 2092阅读6分58秒阅读模式
中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

点击上方“安全优佳” 可以订阅哦!

FinSpy 卷土重来

FinSpy 是一款臭名昭著的网络间谍工具,而现在它又一次卷土重来,但随之而来的还有一个新的 Adobe Flash 0 day 漏洞-CVE-2017-11292。

FinSpy又名FinFisher,这款恶意软件可以在受感染的系统中进行多种网络间谍活动,其功能包括利用目标计算机的摄像头或麦克风来对目标人物进行实时监控、监控用户的键盘记录、拦截Skype通话以及提取指定文件。

FinFisher是一款高度机密的网络间谍工具,据说该工具由英国公司Gamma Group International研发,而这家公司是一家专门向全世界政府机构出售网络间谍以及监控工具的技术公司。

Flash Player又曝严重漏洞

就在上周,Adobe曾声称自己不会再发布任何的安全更新补丁了,因为他们认为自己的Flash Player已经没有什么地方需要修复的了。但就在六天之后(本周一),该公司针对Flash Player发布了一个紧急安全更新,并修复了产品中存在的一个0 day漏洞。简直是啪啪打脸…

中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

据了解,该漏洞是卡巴斯基实验室一位名叫Anton Ivanov的研究人员所发现的,并且及时上报给了Adobe。卡巴斯基在起发表的细节分析报告中指出,这个0 day漏洞(CVE-2017-11292)不仅可以允许攻击者在目标系统中实现远程代码执行,而且还可以允许攻击者利用间谍软件来感染Windows计算机。

该漏洞将影响Windows、Linux、macOS和Chrome OS平台上的Flash Player 27.0.0.159。Adobe在了解到漏洞信息之后,在FlashPlayer v27.0.0.170版本中已修复该漏洞。

此次事件与一个名叫BlackOasis的中东黑客组织有关

卡巴斯基全球研究与分析团队的负责任Costin Raiu表示,这个漏洞所涉及到的网络攻击活动与一个名叫BlackOasis的黑客组织有关。

实际上,BlackOasis这个名字是卡巴斯基的研究人员给一个APT网络犯罪组织取的名字,研究人员认为这个组织是一个中东国家的黑客组织,并且正在使用这款名叫FinFisher的网络间谍工具进行大规模的网络间谍活动。

中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

这并非BlackOasis首次使用Flash Player的0 day漏洞来攻击目标了,该组织不仅曾在2017年9月份使用过CVE-2017-8759(一个Windows.Net Framework远程代码执行漏洞),而且还在2015年6月和2015年6月分别使用过CVE-2016-0984和CVE-2015-5119来发动过攻击。在去年5月,微软还曾报道过BlackOasis组织(又名NEODYMIUM)利用Flash Player漏洞CVE-2016-4117来向目标用户传播FinFisher恶意软件。值得一提的是,当时在土耳其境内就有超过80%的用户受到了感染。

Raiu在发布了 FlashPlayer安全警告 的几分钟之后发布了一份报告,并在 报告 中指出:“根据FireEye的 发现,在近期的攻击活动中(CVE-2017-11292),攻击者所使用的 FinSpy Payload 的命令控制服务器与 CVE-2017-8759 Payload 的 C2 服务器是一样的。”

此次网络钓鱼活动使用带有 Flash 0 day 的 Office 文件进行传播感染

BlackOasis 在此次的攻击活动中使用了带有 Flash 0day Payload 的恶意 Office 文档来对目标用户进行感染和攻击,攻击者在 Office 文档中潜入了一个 ActiveX 对象,其中包含 Flash CVE-2017-11292 的漏洞利用代码。

研究人员解释称:

这是一个存在于 ‘com.adobe.tvsdk.mediacore.BufferControlParameters’ 类中的内存崩溃漏洞。如果攻击者能够成功利用这个漏洞的话,他们将能够在目标系统的内存中进行任意读写操作,因此攻击者还将能够执行第二阶段的 shellcode。第二阶段的shellcode将会在目标系统中下载并执行最新版本的 FinFisher 间谍软件,然后获取一个诱饵文件并将其显示给用户以防止引起不必要的怀疑。”

感染成功之后,攻击者会在目标系统中下载并执行一个名叫 mo.exe 的文件,而这个可执行程序就是伪装后的 FinFisher 间谍软件。值得注意的是,最新版本的 FinFisher 引入了几种新的功能来增加研究人员对其的分析难度。

后话

卡巴斯基实验室目前还没有对外公布此次攻击活动的主要目标用户,但 Black Oasis 在此前的攻击活动中,他们的目标主要是中东地区的政治人物,例如联合国高层、政治活动家以及地方的新闻记者。该组织的主要活动地区也集中在伊拉克、阿富汗、巴林、约旦、沙特阿拉伯、伊朗、荷兰、英国、俄罗斯、尼日利亚、利比亚、突尼斯和安哥拉等国家和地区。

中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

安全优佳

http://news.secwk.com

长按识别左侧二维码,关注我们


本文始发于微信公众号(安全优佳):中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月22日10:24:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisherhttps://cn-sec.com/archives/528480.html

发表评论

匿名网友 填写信息