中东集团使用Flash Zero

  • 时间:
  • 浏览:74
  • 来源:it300
中东集团使用Flash Zero

一个被认为位于中东某个地方的威胁组织一直在使用Adobe Flash Player中的零日漏洞向目标个人提供一些间谍软件。

Flash Player漏洞,标识为CVE-2017-11292的远程执行代码漏洞由Adobe周一修补。卡巴斯基实验室的研究人员发现了这些攻击并向Adobe报告了安全漏洞,他已经发布了一篇博文,详细介绍了这些攻击。

根据安全公司的说法,一个中东组织跟踪BlackOasis一直在使用CVE- 2017-11292在高度针对性的攻击中提供FinFisher,这是一种有争议的合法拦截工具,也称为FinSpy和WingBird。卡巴斯基认为赞助BlackOasis的国家很可能是Gamma的客户Group,FinFisher背后的公司。

上个月,微软修补了一个.NET零日,该漏洞被同一个威胁组利用恶意Office文件利用来发送FinFisher恶意软件。 FireEye的专家首先发现了这次攻击,但卡巴斯基与基于黑客使用的命令和控制(CC)服务器的最新攻击有关。

这是第五个零日漏洞归因于卡巴斯基实验室自2015年6月起加入BlackOasis集团。

根据卡巴斯基的说法,利用CVE-2017-11292的攻击始于通过电子邮件发送的恶意Office文档。该文档包含一个包含Flash漏洞利用的ActiveX对象。

“漏洞利用是”com.adobe中存在的内存损坏漏洞。 tvsdk.mediaco回覆。 BufferControlParameters“类。如果漏洞利用成功,它将在内存中获得任意读/写操作,从而允许它执行第二阶段shellcode,“卡巴斯基研究人员解释说。”

第二阶段shellcode下载并执行最新版本的FinFisher间谍软件,并提取一个显示的诱饵文件,以避免引起怀疑。最新版本的恶意软件包括一些新功能,旨在使研究人员更难分析威胁。

卡巴斯基报告在俄罗斯,伊拉克,阿富汗,尼日利亚,利比亚,约旦,突尼斯,沙特阿拉伯看到BlackOasis受害者阿拉伯,伊朗,荷兰,巴林,英国和安哥拉。

“BlackOasis”的利益涉及广泛的数字中东政治和纵向与该地区的比例过高。这包括联合国的知名人士,反对派博主和活动家以及地区新闻记者,“卡巴斯基说。 “在2016年期间,我们观察到了对安哥拉的浓厚兴趣,例如诱饵文件显示涉嫌与石油,洗钱和其他非法活动有关的目标。国际活动家和智库也有兴趣。“

跟踪BlackOasis小组为NEODYMIUM的微软去年报道威胁演员曾使用Flash Player漏洞利用(CVE-2016-4117)提供FinFisher恶意软件。当时在土耳其发现了超过80%的受害者。

相关:伊朗网络犯罪在Middl中使用新的特洛伊木马e East Attacks

相关:Cyber​​spies目标中东与Windows,Android恶意软件

相关:中东政府针对RanRan Ransomware

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01