黑客使用新的Flash零日攻击来分发FinFisher间谍软件

卡巴斯基实验室的安全研究人员在Adobe Flash中发现了一个新的零天远程代码执行漏洞，该漏洞正被一个名为黑绿洲。

关键类型混淆漏洞，跟踪如下：CVE-2017-11292，可能会导致代码执行，并影响主要操作系统（包括Windows、Macintosh、Linux和Chrome OS）的Flash Player 21.0.0.226。

研究人员表示，BlackOasis是同一组攻击者，他们还负责利用FireEye研究人员于2017年9月发现的另一个零日漏洞（CVE-2017-8759）。

此外，当前攻击中利用Flash zero day（CVE-2017-11292）的最终FinSpy有效载荷与CVE-2017-8759（即Windows.NET Framework远程代码执行）使用的有效载荷共享同一个命令和控制（C&C）服务器。
到目前为止，黑绿洲的目标是俄罗斯、伊拉克、阿富汗、尼日利亚、利比亚、约旦、突尼斯、沙特阿拉伯、伊朗、荷兰、巴林、英国和安哥拉等国的受害者。

最新报道的Flash zero day漏洞至少是BlackOasis group自2015年6月以来利用的第五个zero day漏洞。

零日攻击是通过Microsoft Office文档（尤其是Word）发送的，附加到垃圾邮件，并嵌入Word文件中，其中包含包含Flash攻击的ActiveX对象。

该漏洞将FinSpy商业恶意软件部署为攻击的最终有效载荷。

卡巴斯基实验室的研究人员说：“Flash对象包含一个ActionScript，该脚本负责使用其他FinSpy漏洞中的自定义打包器提取漏洞”。

FinSpy是一种高度机密的监视工具，之前与Gamma Group有关联。Gamma Group是一家英国公司，向世界各地的政府机构合法销售监视和间谍软件。

FinSpy，也称为芬菲舍尔，在受感染的系统上拥有广泛的间谍功能，包括通过打开网络摄像头和麦克风秘密进行实时监视，在键盘上记录受害者键入的所有内容，拦截Skype通话，并过滤文件。
为了进入目标系统，FinSpy通常会利用各种攻击载体，包括矛式钓鱼、手动安装并物理访问受影响的设备、零日攻击和水坑攻击。

卡巴斯基实验室首席恶意软件分析师安东·伊万诺夫（Anton Ivanov）说：“利用最近发现的零日漏洞进行的攻击是我们今年第三次看到FinSpy通过利用零日漏洞进行分发”。“以前，部署此恶意软件的参与者滥用了Microsoft Word和Adobe产品中的关键问题。我们相信，依赖FinSpy软件的攻击数量将继续增加，这些软件由零天攻击支持，如本文所述”。

卡巴斯基实验室向Adobe报告了该漏洞，该公司已通过发布Adobe Flash Player版本27.0.0.159和27.0.0.130解决了该漏洞。

就在上个月，ESET的研究人员发现了一些流行应用的合法下载，如WhatsApp、Skype、VLC Player和WinRAR（据报道在ISP级别遭到破坏），这些应用也在分发FinSpy。

因此，强烈建议世界各地的企业和政府组织尽快从Adobe安装更新。

微软也可能会发布一个安全更新来修补其产品使用的Flash Player组件。