FinSpy 卷土重來

FinSpy 是一款臭名昭著的網(wǎng)絡(luò)間諜工具，而現(xiàn)在它又一次卷土重來，但隨之而來的還有一個新的 Adobe Flash 0 day 漏洞-CVE-2017-11292。

FinSpy又名FinFisher，這款惡意軟件可以在受感染的系統(tǒng)中進(jìn)行多種網(wǎng)絡(luò)間諜活動，其功能包括利用目標(biāo)計(jì)算機(jī)的攝像頭或麥克風(fēng)來對目標(biāo)人物進(jìn)行實(shí)時(shí)監(jiān)控、監(jiān)控用戶的鍵盤記錄、攔截Skype通話以及提取指定文件。

FinFisher是一款高度機(jī)密的網(wǎng)絡(luò)間諜工具，據(jù)說該工具由英國公司Gamma Group International研發(fā)，而這家公司是一家專門向全世界政府機(jī)構(gòu)出售網(wǎng)絡(luò)間諜以及監(jiān)控工具的技術(shù)公司。

Flash Player又曝嚴(yán)重漏洞

就在上周，Adobe曾聲稱自己不會再發(fā)布任何的安全更新補(bǔ)丁了，因?yàn)樗麄冋J(rèn)為自己的Flash Player已經(jīng)沒有什么地方需要修復(fù)的了。但就在六天之后（本周一），該公司針對Flash Player發(fā)布了一個緊急安全更新，并修復(fù)了產(chǎn)品中存在的一個0 day漏洞。簡直是啪啪打臉…

據(jù)了解，該漏洞是卡巴斯基實(shí)驗(yàn)室一位名叫Anton Ivanov的研究人員所發(fā)現(xiàn)的，并且及時(shí)上報(bào)給了Adobe?？ò退够谄鸢l(fā)表的細(xì)節(jié)分析報(bào)告中指出，這個0 day漏洞（CVE-2017-11292）不僅可以允許攻擊者在目標(biāo)系統(tǒng)中實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，而且還可以允許攻擊者利用間諜軟件來感染W(wǎng)indows計(jì)算機(jī)。

該漏洞將影響Windows、Linux、macOS和Chrome OS平臺上的Flash Player 27.0.0.159。Adobe在了解到漏洞信息之后，在FlashPlayer v27.0.0.170版本中已修復(fù)該漏洞。

此次事件與一個名叫BlackOasis的中東黑客組織有關(guān)

卡巴斯基全球研究與分析團(tuán)隊(duì)的負(fù)責(zé)任Costin Raiu表示，這個漏洞所涉及到的網(wǎng)絡(luò)攻擊活動與一個名叫BlackOasis的黑客組織有關(guān)。

實(shí)際上，BlackOasis這個名字是卡巴斯基的研究人員給一個APT網(wǎng)絡(luò)犯罪組織取的名字，研究人員認(rèn)為這個組織是一個中東國家的黑客組織，并且正在使用這款名叫FinFisher的網(wǎng)絡(luò)間諜工具進(jìn)行大規(guī)模的網(wǎng)絡(luò)間諜活動。

這并非BlackOasis首次使用Flash Player的0 day漏洞來攻擊目標(biāo)了，該組織不僅曾在2017年9月份使用過CVE-2017-8759（一個Windows.Net Framework遠(yuǎn)程代碼執(zhí)行漏洞），而且還在2015年6月和2015年6月分別使用過CVE-2016-0984和CVE-2015-5119來發(fā)動過攻擊。在去年5月，微軟還曾報(bào)道過BlackOasis組織（又名NEODYMIUM）利用Flash Player漏洞CVE-2016-4117來向目標(biāo)用戶傳播FinFisher惡意軟件。值得一提的是，當(dāng)時(shí)在土耳其境內(nèi)就有超過80%的用戶受到了感染。

Raiu在發(fā)布了 FlashPlayer安全警告 的幾分鐘之后發(fā)布了一份報(bào)告，并在 報(bào)告 中指出：“根據(jù)FireEye的 發(fā)現(xiàn)，在近期的攻擊活動中（CVE-2017-11292），攻擊者所使用的 FinSpy Payload 的命令控制服務(wù)器與 CVE-2017-8759 Payload 的 C2 服務(wù)器是一樣的。”

此次網(wǎng)絡(luò)釣魚活動使用帶有 Flash 0 day 的 Office 文件進(jìn)行傳播感染

BlackOasis 在此次的攻擊活動中使用了帶有 Flash 0day Payload 的惡意 Office 文檔來對目標(biāo)用戶進(jìn)行感染和攻擊，攻擊者在 Office 文檔中潛入了一個 ActiveX 對象，其中包含 Flash CVE-2017-11292 的漏洞利用代碼。

研究人員解釋稱：

這是一個存在于 ‘com.adobe.tvsdk.mediacore.BufferControlParameters’ 類中的內(nèi)存崩潰漏洞。如果攻擊者能夠成功利用這個漏洞的話，他們將能夠在目標(biāo)系統(tǒng)的內(nèi)存中進(jìn)行任意讀寫操作，因此攻擊者還將能夠執(zhí)行第二階段的 shellcode。第二階段的shellcode將會在目標(biāo)系統(tǒng)中下載并執(zhí)行最新版本的 FinFisher 間諜軟件，然后獲取一個誘餌文件并將其顯示給用戶以防止引起不必要的懷疑。”

感染成功之后，攻擊者會在目標(biāo)系統(tǒng)中下載并執(zhí)行一個名叫 mo.exe 的文件，而這個可執(zhí)行程序就是偽裝后的 FinFisher 間諜軟件。值得注意的是，最新版本的 FinFisher 引入了幾種新的功能來增加研究人員對其的分析難度。

后話

卡巴斯基實(shí)驗(yàn)室目前還沒有對外公布此次攻擊活動的主要目標(biāo)用戶，但 Black Oasis 在此前的攻擊活動中，他們的目標(biāo)主要是中東地區(qū)的政治人物，例如聯(lián)合國高層、政治活動家以及地方的新聞記者。該組織的主要活動地區(qū)也集中在伊拉克、阿富汗、巴林、約旦、沙特阿拉伯、伊朗、荷蘭、英國、俄羅斯、尼日利亞、利比亞、突尼斯和安哥拉等國家和地區(qū)。