FinSpy 是一款臭名昭著的網路間諜工具, 而現在它又一次捲土重來, 但隨之而來的還有一個新的 Adobe Flash 0 day 漏洞-CVE-2017-11292。
FinSpy又名FinFisher, 這款惡意軟體可以在受感染的系統中進行多種網路間諜活動, 其功能包括利用目的電腦的攝像頭或麥克風來對目標人物進行即時監控、監控使用者的鍵盤記錄、攔截Skype通話以及提取指定檔。
FinFisher是一款高度機密的網路間諜工具, 據說該工具由英國公司Gamma Group International研發, 而這家公司是一家專門向全世界政府機構出售網路間諜以及監控工具的技術公司。
Flash Player又曝嚴重漏洞就在上周, Adobe曾聲稱自己不會再發佈任何的安全更新補丁了,
據瞭解, 該漏洞是卡巴斯基實驗室一位名叫Anton Ivanov的研究人員所發現的,
該漏洞將影響Windows、Linux、macOS和Chrome OS平臺上的Flash Player 27.0.0.159。 Adobe在瞭解到漏洞資訊之後, 在FlashPlayer v27.0.0.170版本中已修復該漏洞。
此次事件與一個名叫BlackOasis的中東駭客組織有關
卡巴斯基全球研究與分析團隊的負責任Costin Raiu表示, 這個漏洞所涉及到的網路攻擊活動與一個名叫BlackOasis的駭客組織有關。
實際上, BlackOasis這個名字是卡巴斯基的研究人員給一個APT網路犯罪組織取的名字, 研究人員認為這個組織是一個中東國家的駭客組織, 並且正在使用這款名叫FinFisher的網路間諜工具進行大規模的網路間諜活動。
這並非BlackOasis首次使用Flash Player的0 day漏洞來攻擊目標了, 該組織不僅曾在2017年9月份使用過CVE-2017-8759(一個Windows.Net Framework遠端代碼執行漏洞), 而且還在2015年6月和2015年6月分別使用過CVE-2016-0984和CVE-2015-5119來發動過攻擊。 在去年5月, 微軟還曾報導過BlackOasis組織(又名NEODYMIUM)利用Flash Player漏洞CVE-2016-4117來向目標使用者傳播FinFisher惡意軟體。
Raiu在發佈了 FlashPlayer安全警告 的幾分鐘之後發佈了一份報告, 並在 報告 中指出:“根據FireEye的 發現, 在近期的攻擊活動中(CVE-2017-11292), 攻擊者所使用的 FinSpy Payload 的命令控制伺服器與 CVE-2017-8759 Payload 的 C2 伺服器是一樣的。 ”
此次網路釣魚活動使用帶有 Flash 0 day 的 Office 檔進行傳播感染
BlackOasis 在此次的攻擊活動中使用了帶有 Flash 0day Payload 的惡意 Office 文檔來對目標使用者進行感染和攻擊, 攻擊者在 Office 文檔中潛入了一個 ActiveX 物件, 其中包含 Flash CVE-2017-11292 的漏洞利用代碼。
研究人員解釋稱:
這是一個存在於 ‘com.adobe.tvsdk.mediacore.BufferControlParameters’ 類中的記憶體崩潰漏洞。 如果攻擊者能夠成功利用這個漏洞的話, 他們將能夠在目標系統的記憶體中進行任意讀寫操作, 因此攻擊者還將能夠執行第二階段的 shellcode。
感染成功之後, 攻擊者會在目標系統中下載並執行一個名叫 mo.exe 的檔, 而這個可執行程式就是偽裝後的 FinFisher 間諜軟體。 值得注意的是, 最新版本的 FinFisher 引入了幾種新的功能來增加研究人員對其的分析難度。
後話卡巴斯基實驗室目前還沒有對外公佈此次攻擊活動的主要目標使用者, 但 Black Oasis 在此前的攻擊活動中, 他們的目標主要是中東地區的政治人物, 例如聯合國高層、政治活動家以及地方的新聞記者。 該組織的主要活動地區也集中在伊拉克、阿富汗、巴林、約旦、沙烏地阿拉伯、伊朗、荷蘭、英國、俄羅斯、奈及利亞、利比亞、突尼斯和安哥拉等國家和地區。