Nul
State-backed hackere søger at bruge udnytte, før organisationer har patchet mod det.
Billede: iStock
Hackere er farende for at udnytte en nul-dag Flash-sårbarhed til at plante overvågning software, før de organisationer, der har tid til at opdatere deres systemer for at lappe svaghed.
Afsløret af forskere ved Kaspersky Lab på mandag, CVE-2017-11292 Adobe Flash sårbarheden gjorde det muligt for fjernangribere at implementere en sårbarhed, der kan medføre udførelse af kode på Windows, Mac, Linux, Chrome OS og systemer.
Den udnyttelse, der muliggør levering af ondsindede Word-dokumenter bundtet med malware, for eksempel til at giver angribere mulighed for at snuse på kommunikation, tagrender på video-beskeder og opkald, og stjæle filer.
Adobe Flash Player Desktop Runtime, Adobe Flash Player for Google Chrome, Adobe Flash Player til Microsoft Kant, og Internet Explorer 11 er alle påvirket af sårbarhed og organisationer, der er akut fortalte at installere den vigtige opdatering.
Som et resultat, er angribere bevæger sig hurtigt for at udnytte det, mens de kan og forskere på Proofpoint har tilskrives en kampagne, der er designet til at sprede trojan, malware, ved hjælp af den svaghed, at APT28 – også kendt som har Lyst til at Bære – en russisk hacking gruppe med forbindelser til Kreml.
Kampagnen for at udnytte Flash-sårbarhed har været sendt til offentlige kontorer i Europa og USA med speciale i foreign relations – forskere, der ligne dem til at “enheder, svarende til State Department” – såvel som private virksomheder i flyindustrien.
Se også: Cyberkrig: En guide til den skræmmende fremtidige online konflikt
Den meget forskelligartede karakter af kampagne – sammenlignet med andre APT28 angreb – er sandsynligvis et forsøg fra angriberne at få så meget som de kan udnytte den Flash-sårbarhed, før organisationer komme rundt for at lappe det.
“Ikke overraskende, at de ønsker at drage fordel af den så hurtigt som muligt. Mest sandsynligt, de angriber så mange interessante mål som muligt i små tidsramme, de har,” Kevin Epstein, VP Trussel Operations Center på Proofpoint fortalte ZDNet.
“Angrebet ser ud til at have været mindre målrettet end vi ellers kunne forvente som angriberne brænder exploit”
I dette tilfælde, det ondsindet payload er leveret i et Word-dokument med titlen “World War 3.docx” som indeholder tekst, der er taget fra en artikel af en BRITISK avis om Nordkorea, offentliggjort første gang på tirsdag.
Fancy Bære lokkedue dokument, der anvendes i kampagnen.
Billede: Proofpoint
I dokumentet er ‘DealersChoice’ et angreb rammer tidligere henføres til, at russiske hackere, der har nu været sammen med Flash-sårbarhed, på samme måde som gruppen har gjort det med tidligere kampagner. Når det er installeret på systemet, den malware, der kan bruges som en effektiv spionage værktøj.
Forskere fandt, at den udnyttelse, der var effektiv på systemer med Windows 7 med Flash 27.0.0.159 og Microsoft Office 2013 og Windows 10 bygge 1607 med Flash 27.0.0.130 og Microsoft Office 2013. I modsætning til de tidligere afdækket kampagne for at udnytte de vulneraliity, Mac OS synes ikke at være målrettet i disse angreb.
Det er derfor afgørende, at de patches, der anvendes for at beskytte mod disse angreb.
“APT28 ser ud til at gå hurtigt for at udnytte dette nyligt dokumenteret sårbarhed, før de tilgængelige patch er udbredt,” siger forskere.
“Fordi Flash er stadig til stede på en høj procentdel af systemer og denne sårbarhed påvirker alle større operativsystemer, det er afgørende, at organisationer og slutbrugere anvender Adobe patch straks,”
Proofpoint har også advaret om, hvordan andre trussel aktører er tilbøjelige til at følge i deres forsøg på at udnytte dette relativt frisk sårbarhed, mens de stadig kan.
LÆS MERE OM IT-KRIMINALITET
Snigende malware rettet mod ambassader i snooping campaignVisualizing den russiske cyberattack [TechRepublic]Fancy Bjørn slår til igen: russiske hackere adgang til IAAF atleter og medicinske data i cyberattackHow cybersleuths besluttet, at Rusland stod bag OS valget hack [CNET]Din manglende evne til at anvende kritisk cybersecurity opdateringer er at sætte din virksomhed i fare fra den næste WannaCry eller Petya
0