Tin tặc khai thác mới vá lỗ hổng bảo mật Adobe Flash Player

Computer Security News

Chuyên gia bảo mật Morphisec đã tìm thấy một chiến dịch lớn malspam đó khai thác các lỗ hổng CVE-2018-4878 Adobe Flash Player mới vá cho việc cung cấp phần mềm độc hại.

Sau khi các nhà nghiên cứu đã phát hiện ra rằng lỗ hổng CVE-2018-4878 được sử dụng bởi APT37 Triều tiên liên kết nhóm được nhắm mục tiêu tấn công chống lại Nam Triều tiên, Adobe cố định các lỗ hổng trên 06 tháng 2.

Tuy nhiên, các chuyên gia Morphisec thông báo rằng bây giờ lỗ hổng bảo mật tương tự đã được khai thác bởi Subscribers khác cho việc cung cấp phần mềm độc hại.

“Như dự kiến và dự đoán, đối thủ đã nhanh chóng thông qua việc khai thác Flash, mà là một cách dễ dàng thể sanh sản nhiều. Với các biến thể nhỏ để tấn công, họ đã đưa ra một lớn malspam chiến dịch và qua hầu hết hiện tại tĩnh quét giải pháp một lần nữa. “ Các chuyên gia Morphisec đã nêu.

Trong các chiến dịch đã đăng ký ngày 22 tháng 2, những kẻ tấn công sử dụng một phiên bản của khai thác là khá tương tự như một được sử dụng bởi nhóm APT37 trước.

Các hacker sử dụng thư rác email với một liên kết đến một tài liệu được lưu trữ vào Két an toàn, lưu trữ [.] biz. Đang tải xuống và mở cửa, các tài liệu thông báo cho người dùng xem trước trực tuyến là không có sẵn và chỉ thị cho họ làm thế nào để kích hoạt các chế độ chỉnh sửa để xem nội dung.

Các URL bao gồm trong các email được tạo ra với Google URL dịch vụ rút ngắn, trường hợp này cho phép các nhà nghiên cứu để xác định số lượng các nạn nhân người nhấp vào nó.

Theo các chuyên gia bảo mật, mỗi người trong số các liên kết khác nhau được sử dụng trong chiến dịch này đã nhấp vào hàng chục và thậm chí hàng trăm lần trong vòng 3-4 ngày kể từ ngày được tạo ra.

Một khi các nạn nhân cho phép các chế độ chỉnh sửa, các lỗ hổng CVE-2018-4878 Adobe khai thác và dấu nhắc lệnh Windows được thực thi. Sau đó, tập tin exe kết hợp cmd [.] được tiêm với shellcode độc hại mà kết nối đến tên miền của các hacker.

Sau đó, shellcode tải một dll từ cùng một tên miền, được thực hiện bằng cách sử dụng hệ phục vụ Microsoft đăng ký Tiện ích để vượt qua whitelisting giải pháp.

An ninh nhà nghiên cứu cho rằng chỉ có một số giới hạn các giải pháp bảo mật cờ mồi tài liệu như là độc hại.


Leave a Reply

Your email address will not be published. Required fields are marked *