据思科和FireEye的安全研究人员称，韩国黑客组织是最近发现Adobe Flash 0day漏洞攻击的幕后黑手。

自发布以来，已经有超过1000个 Adobe Flash漏洞。旨在简化网站开发并提供标准Web浏览器不支持的其他功能，这也提升了复杂程度和更广泛的攻击面。Web浏览器默认不再支持Flash，但用户通常为了方便而重新启用它。只要将它安装在您的系统上就足以使这个最新的0day漏洞被利用。

韩国互联网与安全中心KISA于2018年1月31日发布了一个安全公告，警告Adobe Flash Player的UAF漏洞被广泛的利用。第二天，Adobe发布了安全咨询APSA18-01，确认CVE-2018-4878是一个潜在的远程代码漏洞，并宣布计划在2018年2月5日发布安全补丁。该攻击是在恶意SWF文件Microsoft Office或Hancom Hangul文档或电子表格，一旦打开，受害者的计算机将通过Adobe Flash执行恶意SWF（如果已安装）。

FireEye表示： “开放和成功利用后，加密嵌入式有效载荷的解密密钥将从受损的第三方网站下载。”

嵌入式负载很可能是DOGCALL恶意软件，这有助于安装 ROKRAT 命令和控制木马，远程攻击者可以访问受害者的系统。

专家警告说，在Adobe补丁到来之前，用户应该非常谨慎地打开未知的电子表格和文档文件。实际上，对于任何意外的或可疑的文件，尤其是那些支持嵌入的文件，由于可以隐藏各种恶意软件，应该始终保持警惕。您还应该强烈考虑卸载Adobe Flash。即使在您的浏览器中禁用了它，只要将它安装在您的系统上就足以让最新的漏洞成功执行。有可能你不需要Adobe Flash了。正如Sophos所解释的那样：“我们听到的最常见的需求是观看网络视频，但是如果你没有Flash，几乎所有的网站都会使用HTML5作为视频。如果你卸载它，你的浏览器将会使用它的内置视频播放器，所以你可能根本不需要Flash。“

思科和FireEye都在调查，并警告说，他们一直在追踪的朝鲜黑客组织可能正是这次袭击的幕后操纵者。FireEye称其为TEMP.Reaper，思科称为Group 123，与朝鲜有关系的黑客集团在2017年非常活跃。

据  FireEye的：“从历史上看，他们的大部分目标都集中在韩国政府，军事和国防工业基础; 然而，去年他们已经扩大到其他国际目标。“

除了扩大攻击目标之外，黑客组织似乎也在提升技能，利用各种不同的技术来部署破坏性的恶意软件和指挥、控制木马。

在过去的几年中，朝鲜曾经有过很多黑客攻击的指责。随着2017年的紧张局势和本月即将到来的韩国奥运会的举行，有很多机会和潜在的动力。这次最新的攻击表明，这个黑客组织准备好利用这些机会。

正如思科Talos安全团队所描述的那样，“123组织现在已经加入了ROKRAT最新有效载荷的一些犯罪精英。他们已经使用了Adobe Flash 0day之外的功能。这个变化代表了123组织熟度水平的一个重大转变，我们现在可以从机密的角度评估123组织拥有一支高度熟练，高度积极和高度成熟的团队。

*参考来源：securityaffairs，FB小编Andy编译，转载请注明来自FreeBuf.COM