朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

2018-02-07 150599人围观 ,发现 5 个不明物体 资讯

据思科和FireEye的安全研究人员称,韩国黑客组织是最近发现Adobe Flash 0day漏洞攻击的幕后黑手。

自发布以来,已经有超过1000个 Adobe Flash漏洞。旨在简化网站开发并提供标准Web浏览器不支持的其他功能,这也提升了复杂程度和更广泛的攻击面。Web浏览器默认不再支持Flash,但用户通常为了方便而重新启用它。只要将它安装在您的系统上就足以使这个最新的0day漏洞被利用。

timg (13).jpg

韩国互联网与安全中心KISA于2018年1月31日发布了一个安全公告,警告Adobe Flash Player的UAF漏洞被广泛的利用。第二天,Adobe发布了安全咨询APSA18-01,确认CVE-2018-4878是一个潜在的远程代码漏洞,并宣布计划在2018年2月5日发布安全补丁。该攻击是在恶意SWF文件Microsoft Office或Hancom Hangul文档或电子表格,一旦打开,受害者的计算机将通过Adobe Flash执行恶意SWF(如果已安装)。

FireEye表示: “开放和成功利用后,加密嵌入式有效载荷的解密密钥将从受损的第三方网站下载。”

嵌入式负载很可能是DOGCALL恶意软件,这有助于安装 ROKRAT 命令和控制木马,远程攻击者可以访问受害者的系统。

专家警告说,在Adobe补丁到来之前,用户应该非常谨慎地打开未知的电子表格和文档文件。实际上,对于任何意外的或可疑的文件,尤其是那些支持嵌入的文件,由于可以隐藏各种恶意软件,应该始终保持警惕。您还应该强烈考虑卸载Adobe Flash。即使在您的浏览器中禁用了它,只要将它安装在您的系统上就足以让最新的漏洞成功执行。有可能你不需要Adobe Flash了。正如Sophos所解释的那样:“我们听到的最常见的需求是观看网络视频,但是如果你没有Flash,几乎所有的网站都会使用HTML5作为视频。如果你卸载它,你的浏览器将会使用它的内置视频播放器,所以你可能根本不需要Flash。“

思科和FireEye都在调查,并警告说,他们一直在追踪的朝鲜黑客组织可能正是这次袭击的幕后操纵者。FireEye称其为TEMP.Reaper,思科称为Group 123,与朝鲜有关系的黑客集团在2017年非常活跃。

据  FireEye的:“从历史上看,他们的大部分目标都集中在韩国政府,军事和国防工业基础; 然而,去年他们已经扩大到其他国际目标。“

north-korea-hackers.jpg

除了扩大攻击目标之外,黑客组织似乎也在提升技能,利用各种不同的技术来部署破坏性的恶意软件和指挥、控制木马。

在过去的几年中,朝鲜曾经有过很多黑客攻击的指责。随着2017年的紧张局势和本月即将到来的韩国奥运会的举行,有很多机会和潜在的动力。这次最新的攻击表明,这个黑客组织准备好利用这些机会。

正如思科Talos安全团队所描述的那样,“123组织现在已经加入了ROKRAT最新有效载荷的一些犯罪精英。他们已经使用了Adobe Flash 0day之外的功能。这个变化代表了123组织熟度水平的一个重大转变,我们现在可以从机密的角度评估123组织拥有一支高度熟练,高度积极和高度成熟的团队。

*参考来源:securityaffairs,FB小编Andy编译,转载请注明来自FreeBuf.COM

发表评论

已有 5 条评论

取消
Loading...
css.php