卡巴斯基实验室的高级漏洞入侵防护系统发现了一种最新的Adobe Flash零日漏洞,在10月10日被一个称为BlackOasis的威胁攻击者用于实施攻击。
卡巴斯基实验室的高级漏洞入侵防护系统发现了一种最新的Adobe Flash零日漏洞,在10月10日被一个称为BlackOasis的威胁攻击者用于实施攻击。这种漏洞利用程序通过微软的Word文档进行传播,会部署FinSpy商业恶意软件。卡巴斯基实验室已经将该漏洞上报给Adobe公司,其已经发布了一篇安全公告。
根据卡巴斯基实验室研究,CVE-2017-11292零日漏洞被发现在实际攻击中使用,所以卡巴斯基实验室建议企业和政府组织立即安装来自Adobe的更新。
研究人员认为,这次攻击幕后的攻击组织同样也是另一个在9月份报道的零日漏洞CVE-2017-8759的负责人——并且认为这些攻击者参与了BlackOasis攻击。卡巴斯基实验室全球研究和分析团队从2016年就开始追踪该攻击组织。
分析显示,在成功利用漏洞后,网络罪犯会在目标计算机上安装FinSpy恶意软件(又被称为FinFisher)。FinSpy是一种商业恶意软件,通常被售卖给政府和执法机构,用户执行监视。过去,这种恶意软件主要在国内使用,执法机构将其用于对当地目标进行监视。BlackOasis是一个例外,开始在全球范围内大规模使用这种恶意软件。这似乎表明,FinSpy正在推动全球情报行动,一个国家对另一个国家使用它。 开发监控软件如FinSpy的公司让这种军备竞赛成为可能。
攻击中使用的恶意软件是最新版的FinSpy,该版本采用了多个反分析技术,使得对其进行取证分析变得更困难。
安装后,恶意软件会在受攻击计算机内立足,连接其位于瑞士、保加利亚和荷兰的命令控制服务器,等待进一步指令,进行数据渗透。
根据卡巴斯基实验室的评估,BlackOasis的兴趣涵盖了全部中东地区相关政治,包括联合国人物、反对派博客写手和激进分子以及区域新闻记者等。他们似乎也对与该地区特别相关的纵深感兴趣。2016年期间,公司的研究人员发现攻击者对安哥拉特别感兴趣,列举了涉嫌与石油、洗钱和其他活动有关的目标的诱饵文件。他们还对国际激进分子和智囊团感兴趣。
迄今为止,我们已经在以下国家发现了BlackOasis的受害者:俄罗斯、伊拉克、阿富汗、尼日利亚、利比亚、约旦、突尼斯、沙特阿拉伯、伊朗、荷兰、巴林、英国和安哥拉
“FinSpy通过零日漏洞进行传播,是今年发现的第三起利用最新发现的零日漏洞实施的攻击。之前,攻击者利用Microsoft Word和Adobe产品汇总的关键漏洞部署这种恶意软件。我们认为,依靠FinSpy软件的攻击数量将继续增长,尤其是这种攻击使用了零日漏洞,“卡巴斯基实验室恶意软件分析师Anton Ivanov说。
卡巴斯基实验室安全解决方案能够成功检测和拦截使用这种最新漏洞的漏洞利用程序实施攻击。
卡巴斯基实验室专家建议企业和组织采取以下措施来保护自己的系统和数据应对这种威胁:
- 如果还没有部署,请使用Flash软件的killbit功能,并尽可能完全禁用Flash功能。
- 部署高级和多层级的安全解决方案,覆盖所有的网络、系统和端点。
- 对员工进行有关社交工程攻击技巧的教育和培训,因为这种攻击手段经常被网络罪犯使用,让受害者打开恶意文档或点击受感染链接。
- 定期对企业或组织的IT基础设施进行安全评估。
- 使用卡巴斯基实验室的威胁情报服务来追踪网络攻击、事件或威胁,向客户提供最新的相关信息。
更多详情请联系intelreports@kaspersky.com.
要了解更多技术详情,包括感染迹象以及YARA规则,请浏览Securelist.com上的相关博文。