Kaspersky Lab otkrio ranjivost nultog dana u Adobe Flash-u

Izvor: Objava, 17.Okt.2017, 11:30   (ažurirano 02.Apr.2020.)

Kaspersky Lab otkrio ranjivost nultog dana u Adobe Flash-u

Sistem kompanije Kaspersky Lab za sprečavanje sajber pretnji identifikovao je novi exploit nultog dana u Adobe Flash-u. Ova ranjivost korišćena je u napadu koji je 10. oktobra sprovela hakerska grupa pod nazivom BlackOasis. Exploit je bio aktiviran preko MS Word dokumenta i njegova zadatak je bio da instalira FinSpy komercijalni malver. Kaspersky Lab je prijavio ovu ranjivost kompaniji Adobe, koja je izdala dokument sa savetima za korisnike.

Prema podacima do kojih su dišli istraživači iz kompanije Kaspersky Lab, exploit nultog dana CVE-2017-11292, detektovan je tokom trajanja jednog napada, a kompanijama i vladinim organizacijama se savetuje da odmah ažuriraju Adobe Flash.

Istraživači smatraju da je hakerska grupa odgovorna za ovaj napad takođe odgovorna i za CVE-2017-8759, još jedan exploit nultog dana koji je korišćen u septembru, i sigurni su u to da je u pitanju hakerska grupa BlackOasis, koju globalni tim za istržavianje i analizu iz kompanije Kaspersky Lab prati od 2016. godine.

Analizom je ustanovljeno da je, nakon uspešnog iskorišćavanja ranjivosti, na uređaj žrtava bio instaliran FinSpy malver (poznat i kao FinFisher), komercijalni malver koji se obično prodaje državnim organizacijama i organima za sprovođenje zakona, kako bi sprovodili nadgledanje. U prošlosti, korišćenje ovog malvera je uglavnom bilo ograničeno na konkretnu zemlju, pri čemu su ga koristilie organi za sprovođenje zakona kako bi nadgledali lokalne mete. BlackOasis grupa je napravila promenu u načinu korišćenja ovog malvera, pri čemu je počela da ga koristi za napade na najrazličitije mete širom sveta. Podaci do kojih su došli istržaivači ukazuju na činjenicu da je FinSpy sada glavna pokretačka snaga brojnih operacija širom sveta, pri čemu ga zemlje koriste kako bi se međusobno špijunirale.

Malver korišćen tokom ovog napada predstavlja najnoviju verziju FinSpy malvera, i opremljen je višestrukim alatima koji u velikoj meri otežavaju sprovođenje forenzičke analize.

Na osnovu procene kompanije Kaspersky Lab, interesi hakerske grupe BlackOasis obuhvataju veliki broj političkih ličnosti na Bliskom Istoku, uključujući eminentne ličnosti iz Ujedinjenih Nacija, blogere i aktiviste iz opozicionih strana, kao novinarske dopisnike za taj region.

Do sada su žrtve hakerske grupe BlackOasis registrovane u sledećim zemljama: Rusija, Irak, Avganistan, Nigerija, Libija, Jordan, Tunis, Saudijska Arabija, Iran, Holandija, Bahrein, Velika Britanija i Angola.

„Nedavni napad, tokom kojeg je korišćena ranjivost nultog dana, je već treći slučaj ove godine gde su ranjivosti nultog dana korišćene za distribuciju FinSpy malvera. Pre toga, napadači koji su distribuirali ovaj malver su zloupotrebljavali probleme koji su bili prisutni na programima kao što su MS Word i Adobe proizvodi. Smatramo da će broj napada koji podrazumevaju korišćenje ranjivosti nultog dana za distribuciju FinSpy malvera nastaviti da raste“, izjavio je Anton Ivanov, vodeći malver analitičar u kompaniji Kaspersky Lab.
Bezbednosna rešenja kompanije Kaspersky Lab uspešno detektuju i blokiraju exploit-a koji iskorišćavaju ovu ranjivost.

Stručnjaci iz kompanije Kaspersky Lab savetuju organizacijama da preuzmu sledeće mere kako bi zaštitili svoje sisteme i podatke od ove pretnje:

● Ako već nisu, da iskoriste „killbit“ opciju na Flash plejeru i da, gde je god to moguće, onesposobe njegovo korišćenje.

● Da koriste napredno i višeslojno bezbednosno rešenje koje pokriva sve mreže, sisteme i krajnje tačke.

● Da edukuju i sprovode treninge za zaposlene, kako bi ih upoznali sa taktikama društvenog inženjeringa, budući da kriminalci obično koriste ovaj metod za distribuciju malicioznih linkova.

● Da redovno sprovode bezbednosne procene i provere svoje IT infrastrukture.

● Da koriste baze podataka kompanije Kaspersky Lab o pretnjama, koje prate sajber napade, incidente i pretnje, i korisnicima obezbeđuju najrelevantnije i najnovije informacija o svim pretnjama, uključujući i one o kojima možda nisu svesni. Više na intelreports@kaspersky.com.

Za više tehničkih detalja, uključujući indikatore kompromitovanja i YARA pravila, pročitajte blog post dostupan na stranici Securelist.com.