freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

中东黑客组织使用Flash 0-day漏洞传播间谍软件FinFisher,Adobe紧急发布修复补丁
2017-10-20 13:00:56

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。


漏洞

FinSpy 卷土重来

FinSpy 是一款臭名昭著的网络间谍工具,而现在它又一次卷土重来,但随之而来的还有一个新的 Adobe Flash 0 day 漏洞-CVE-2017-11292。

FinSpy又名FinFisher,这款恶意软件可以在受感染的系统中进行多种网络间谍活动,其功能包括利用目标计算机的摄像头或麦克风来对目标人物进行实时监控、监控用户的键盘记录、拦截Skype通话以及提取指定文件。

FinFisher是一款高度机密的网络间谍工具,据说该工具由英国公司Gamma Group International研发,而这家公司是一家专门向全世界政府机构出售网络间谍以及监控工具的技术公司。

Flash Player又曝严重漏洞

就在上周,Adobe曾声称自己不会再发布任何的安全更新补丁了,因为他们认为自己的Flash Player已经没有什么地方需要修复的了。但就在六天之后(本周一),该公司针对Flash Player发布了一个紧急安全更新,并修复了产品中存在的一个0 day漏洞。简直是啪啪打脸...


Flash 漏洞

据了解,该漏洞是卡巴斯基实验室一位名叫Anton Ivanov的研究人员所发现的,并且及时上报给了Adobe。卡巴斯基在起发表的细节分析报告中指出,这个0 day漏洞(CVE-2017-11292)不仅可以允许攻击者在目标系统中实现远程代码执行,而且还可以允许攻击者利用间谍软件来感染Windows计算机。

该漏洞将影响Windows、Linux、macOS和Chrome OS平台上的Flash Player 27.0.0.159。Adobe在了解到漏洞信息之后,在FlashPlayer v27.0.0.170版本中已修复该漏洞。

此次事件与一个名叫BlackOasis的中东黑客组织有关

卡巴斯基全球研究与分析团队的负责任Costin Raiu表示,这个漏洞所涉及到的网络攻击活动与一个名叫BlackOasis的黑客组织有关。

实际上,BlackOasis这个名字是卡巴斯基的研究人员给一个APT网络犯罪组织取的名字,研究人员认为这个组织是一个中东国家的黑客组织,并且正在使用这款名叫FinFisher的网络间谍工具进行大规模的网络间谍活动。


黑客组织

这并非BlackOasis首次使用Flash Player的0 day漏洞来攻击目标了,该组织不仅曾在2017年9月份使用过CVE-2017-8759(一个Windows.Net Framework远程代码执行漏洞),而且还在2015年6月和2015年6月分别使用过CVE-2016-0984CVE-2015-5119来发动过攻击。在去年5月,微软还曾报道过BlackOasis组织(又名NEODYMIUM)利用Flash Player漏洞CVE-2016-4117来向目标用户传播FinFisher恶意软件。值得一提的是,当时在土耳其境内就有超过80%的用户受到了感染。

Raiu在发布了 FlashPlayer安全警告 的几分钟之后发布了一份报告,并在 报告 中指出:“根据FireEye的 发现,在近期的攻击活动中(CVE-2017-11292),攻击者所使用的 FinSpy Payload 的命令控制服务器与 CVE-2017-8759 Payload 的 C2 服务器是一样的。”

此次网络钓鱼活动使用带有 Flash 0 day 的 Office 文件进行传播感染

BlackOasis 在此次的攻击活动中使用了带有 Flash 0day Payload 的恶意 Office 文档来对目标用户进行感染和攻击,攻击者在 Office 文档中潜入了一个 ActiveX 对象,其中包含 Flash CVE-2017-11292 的漏洞利用代码。

研究人员解释称:

这是一个存在于 ‘com.adobe.tvsdk.mediacore.BufferControlParameters’ 类中的内存崩溃漏洞。如果攻击者能够成功利用这个漏洞的话,他们将能够在目标系统的内存中进行任意读写操作,因此攻击者还将能够执行第二阶段的 shellcode。第二阶段的shellcode将会在目标系统中下载并执行最新版本的 FinFisher 间谍软件,然后获取一个诱饵文件并将其显示给用户以防止引起不必要的怀疑。”

感染成功之后,攻击者会在目标系统中下载并执行一个名叫 mo.exe 的文件,而这个可执行程序就是伪装后的 FinFisher 间谍软件。值得注意的是,最新版本的 FinFisher 引入了几种新的功能来增加研究人员对其的分析难度。

后话

卡巴斯基实验室目前还没有对外公布此次攻击活动的主要目标用户,但 Black Oasis 在此前的攻击活动中,他们的目标主要是中东地区的政治人物,例如联合国高层、政治活动家以及地方的新闻记者。该组织的主要活动地区也集中在伊拉克、阿富汗、巴林、约旦、沙特阿拉伯、伊朗、荷兰、英国、俄罗斯、尼日利亚、利比亚、突尼斯和安哥拉等国家和地区。

* 参考来源:bleepingcomputer, FB 小编 Alpha_h4ck 编译,转载请注明来自 FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# FinFisher # Flash 0-day 漏洞
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦