Новейшая Flash 0-day на службе у APT-группы ScarCruft

Вчера вышел патч для уязвимости нулевого дня во Flash Player, которую уже использует новая APT-группа ScarCruft, атакующая в основном высокопоставленные цели в России и Азии. Об этой бреши Adobe сообщили исследователи из «Лаборатории Касперского»; эксплойты к ней были замечены itw в марте, в ходе целевых атак, которые «лаборанты» идентифицируют как Operation Daybreak (операция «Рассвет»). По словам экспертов, в настоящее время данная группировка проводит сразу несколько операций и имеет в своем распоряжении два эксплойта для Flash и один — для Internet Explorer. Не исключено, что ScarCruft использовала также еще одну уязвимость 0-day — CVE-2016-0147 в наборе служб MSXML (Microsoft XML Core Services), пропатченную два месяца назад.

В отчете о новой Flash-уязвимости «ЛК» указала, что она присутствует в коде, выполняющем парсинг метаданных ExecPolicy. Эксплойт ScarCruft реализует операции чтения-записи в конкретных адресах памяти, что позволяет удаленно исполнить код. Атака при этом осуществляется поэтапно, вначале грузится шелл-код и исполняется вредоносная DLL, загружаемая во Flash. Злоумышленники также применяют технику обхода детектирования антивирусами, использующую Windows-компонент DDE (Dynamic Data Exchange) — протокол, облегчающий передачу данных между приложениями. «Если создать ассоциацию .lnk с исполняемым файлом или командой, а затем применить метод ShowGroup, целевая программа будет исполнена, — поясняют эксперты. — Это недокументированное поведение в Microsoft Windows». На настоящий момент выявлено более 20 пострадавших от Operation Daybreak. Среди них числятся орган правопорядка азиатской страны, крупная торговая компания (также из Азии), американская компания, специализирующаяся на мобильной рекламе, а также ряд персон, связанных с Международной ассоциацией легкоатлетических федераций (IAAF). Все они вначале получили адресное письмо со ссылкой на страницу эксплойт-пака, ассоциируемого со ScarCruft. Если посетитель признается годным для атаки, его перенаправляют на польский сервер, контролируемый злоумышленниками. «APT-группа ScarCruft — относительно новый игрок, которому некоторое время удавалось оставаться незамеченным, — рассказывают «лаборанты». — В целом их действия очень профессиональны и целенаправленны. Применяемые ими инструменты и технологии намного выше среднестатистического уровня». По свидетельству «Лаборатории», группа ScarCruft также является автором Operation Erebus. В этих атаках, проводимых по методу водопоя, используется другая уязвимость во Flash — CVE-2016-4117.

Источник: threatpost.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s