Adobe исправляет уязвимость флеш-плеера Zero-Day, используемую при атаке APT на Россию

Adobe выпустила обновление для Flash Player, исправляющее пользователя нулевого дня после бесплатной уязвимости, которая использовалась как часть атаки APT против России

Adobe выпустила обновление для Flash Player, исправляющее пользователя нулевого дня после бесплатной уязвимости, которая использовалась как часть атаки APT против России. Эта атака носит название «Операция отравления иглами» и была направлена ​​на российскую медицинскую клинику ФГБУ «Поликлиника №2».

Согласно исследованию, проведенному группой Qihoo 360 Advanced Response Team и Gigamon, 29 ноября 2018 года было обнаружено нападение на российскую клинику ФГБУ «Поликлиника № 2». На сайте этой клиники указано, что она предоставляет медицинские и косметические услуги руководству и работникам высшего звена Российской Федерации.

Целевая атака была выполнена в форме фальшивой анкеты сотрудника, которая при открытии запускала эксплойт для уязвимости Flash нулевого дня. Этот вопросник показан ниже, и вы можете видеть, что объект Flash отображается в виде черного квадрата в документе.

При срабатывании эксплойта Word отображает предупреждение «Внедренное содержимое, содержащееся в этом документе, может быть опасным для вашего компьютера». и если пользователь соглашается продолжить, выполняется следующая команда, чтобы извлечь файл rar и запустить содержащийся в нем исполняемый файл backup.exe.

В соответствии с Gigamon выполненная команда:

C: \ WINDOWS \ system32 \ cmd.exe / c set path =% ProgramFiles (x86)% \ WinRAR; C: \ Program Files \ WinRAR; && cd / d% ~ dp0 & rar.exe e -o + -r -inul * .rarscan042.jpg & rar.exe e -o + -r -inulscan042.jpg backup.exe & backup.exe

Этот поток атаки показан на рисунке ниже.

Файл backup.exe - это бэкдор, который притворяется приложением панели управления Nvidia и использует украденный сертификат от «IKB SERVICE UK LTD», который с тех пор был отозван.

Исследователи утверждают, что при запуске программы backup.exe она будет копировать себя в файл% LocalAppData% \ NVIDIAControlPanel \ NVIDIAControlPanel.exe и отправлять информацию о компьютере и установленных приложениях на удаленный хост. Он также загрузит и выполнит код оболочки на компьютере.

Исследователи считают, что это нападение является политически мотивированным, поскольку оно произошло сразу после инцидента в Керченском проливе, когда российские катера береговой охраны открыли огонь и захватили три судна ВМС Украины.

«Поскольку это первое обнаружение этой APT-атаки 360 Security в глобальном масштабе, мы назвали его« Операционные отравляющие иглы », считая, что целью было медицинское учреждение», - заявили в 360 Core Security. их отчет , «В настоящее время атрибуция злоумышленника все еще находится под следствием. Однако особый фон поликлиники и чувствительность группы, которую она обслуживала, указывают на то, что атака имеет высокую цель. Одновременно атака произошла в очень чувствительное время в Керчи. Инцидент пролива, поэтому он также вызвал предположение о политической атрибуции нападения ".

Adobe выпустила бюллетень по безопасности APSB18-42 в нем говорится, что Flash Player 31.0.0.153 и более ранние версии подвержены этой уязвимости, которой был присвоен идентификатор CVE-2018-15982. Чтобы устранить эту уязвимость, пользователи должны обновление до версии 32.0.0.101 немедленно.

Это обновление также устраняет уязвимость, приводящую к перехвату DLL в программе, которая позволяет злоумышленнику загружать вредоносную DLL при запуске Flash Player.

Чтобы быть по-настоящему безопасным, рекомендуется, чтобы все пользователи удалили Flash Player, если они абсолютно не нужны для внутреннего приложения. Adobe планирует отказаться от флэш-памяти в 2020 году, и большинство сайтов, которые использовали ее в прошлом, перешли на другие технологии.