Новости [THN] Хакеры используют новый эксплойт нулевого дня для распространения шпионского ПО FinFisher

Знаменитое шпионское ПО FinSpy снова в деле, и уже заражает высокоуровневые цели используя новый эксплойт нулевого дня (zero-day exploit) в Adobe Flash, доступную через документы Microsoft Office.

Исследователи безопасности из лаборатории Касперского обнаружили возможность удаленно выполнять код в Adobe Flash, которой активно пользовалась хакерская группировка BlackOasis.

Данная уязвимость, получившая идентификатор CVE-2017-11292, позволяет злоумышленнику выполнять свой код в системе жертвы. Уязвимость бьет по версии Flash Player 21.0.0.226 на популярных операционных системах : Windows, Macintosh, Linux и Chrome OS.

Исследователи утверждают что BlackOasis также эксплуатировала другую уязвимость нулевого дня - CVE-2017-8759, обнаруженную учеными FireEye в сентябре этого года.

Помимо этого, вирус-вымогатель (payload) FinSpy (который используется в уязвимости 11292 (смотреть чуть выше)) имеет тот же управляющий сервер (command & control server) что и вирус-вымогатель использованный в уязвимости 8759 (она позволяла удаленно выполнять код и команды через Windows .NET Framework).

До сих пор, BlackOasis била по целям в разных странах : Россия, Ирак, Афганистан, Нигерия, Либия, Иордания, Тунизия, Саудовская Аравия, Иран, Нидерланды, Бахрейн, Великобритания, Ангола и другие.

Новый эксплойт Flash (11292) - по крайней мере пятый, которым пользуется BlackOasis с июня 2015 года.

Уязвимость 11292 кроется в приложенных к спам-емайлам документах Microsoft Office, в особенности Word, которые и содержат объект ActiveX с самим эксплойтом Flash.

Эксплойт запускает FinSpy в последнюю очередь.

FinSpy - секретное ПО для шпионажа которое в прошлом было связано с Группой Гамма (Gamma Group) (британская компания продающая легальное ПО для шпионажа и надзора госорганам по всему миру).

FinSpy, также известный под именем FinFisher, имеет широкий ассортимент возможностей в области шпионажа на зараженной системе : незаметная и тихая запись с камер и микрофонов, запись нажатых клавиш на клавиатуре, перехват звонков Skype, эксфильтрация любых файлов, и многое другое.

Чаще всего, FinSpy закрадывается в систему при помощи фишинга, установки вручную, эксплойтам нулевого дня, атакам типа "течь" (заражается вебсайт. Цель заходит на вебсайт и заражается сама), и другим векторам атаки.

Лаборатория Касперского донесла новость до Adobe, и компания решила проблему, выпустив версии 27.0.0.159 и 27.0.0.130 Adobe Flash Player.

Меньше месяца назад, команда из ESET обнаружила что официальные версии знаменитых программ (WhatsApp, Skype, VLC Player, WinRAR) были скомпрометированы на уровне провайдера (ISP) и так же "раздавали" FinSpy.

В скором времени, Microsoft также обновит те компоненты Flash Player которые используются их ПО.

(Статья опубликована 16 октября 2017 г.)
(Статья переведена и опубликована на форуме 16 октября 2017 г.)
https://thehackernews.com/2017/10/flash-player-zero-day.html