首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

作者头像
FB客服
发布2018-02-23 15:01:58
7580
发布2018-02-23 15:01:58
举报
文章被收录于专栏:FreeBufFreeBuf

据思科和FireEye的安全研究人员称,韩国黑客组织是最近发现Adobe Flash 0day漏洞攻击的幕后黑手。

自发布以来,已经有超过1000个 Adobe Flash漏洞。旨在简化网站开发并提供标准Web浏览器不支持的其他功能,这也提升了复杂程度和更广泛的攻击面。Web浏览器默认不再支持Flash,但用户通常为了方便而重新启用它。只要将它安装在您的系统上就足以使这个最新的0day漏洞被利用。

韩国互联网与安全中心KISA于2018年1月31日发布了一个安全公告,警告Adobe Flash Player的“免费使用”漏洞被广泛的利用。第二天,Adobe发布了安全咨询APSA18-01,确认CVE-2018-4878是一个潜在的远程代码漏洞,并宣布计划在2018年2月5日发布安全补丁。该攻击是在恶意SWF文件Microsoft Office或Hancom Hangul文档或电子表格,一旦打开,受害者的计算机将通过Adobe Flash执行恶意SWF(如果已安装)。

FireEye表示: “开放和成功利用后,加密嵌入式有效载荷的解密密钥将从受损的第三方网站下载。”

嵌入式负载很可能是DOGCALL恶意软件,这有助于安装 ROKRAT 命令和控制木马,远程攻击者可以访问受害者的系统。

专家警告说,在Adobe补丁到来之前,用户应该非常谨慎地打开未知的电子表格和文档文件。实际上,对于任何意外的或可疑的文件,尤其是那些支持嵌入的文件,由于可以隐藏各种恶意软件,应该始终保持警惕。您还应该强烈考虑卸载Adobe Flash。即使在您的浏览器中禁用了它,只要将它安装在您的系统上就足以让最新的漏洞成功执行。有可能你不需要Adobe Flash了。正如Sophos所解释的那样:“我们听到的最常见的需求是观看网络视频,但是如果你没有Flash,几乎所有的网站都会使用HTML5作为视频。如果你卸载它,你的浏览器将会使用它的内置视频播放器,所以你可能根本不需要Flash。“

思科和FireEye都在调查,并警告说,他们一直在追踪的朝鲜黑客组织可能正是这次袭击的幕后操纵者。FireEye称其为TEMP.Reaper,思科称为Group 123,与朝鲜有关系的黑客集团在2017年非常活跃。

据 FireEye的:“从历史上看,他们的大部分目标都集中在韩国政府,军事和国防工业基础; 然而,去年他们已经扩大到其他国际目标。“

除了扩大攻击目标之外,黑客组织似乎也在提升技能,利用各种不同的技术来部署破坏性的恶意软件和指挥、控制木马。

在过去的几年中,朝鲜曾经有过很多黑客攻击的指责。随着2017年的紧张局势和本月即将到来的韩国奥运会的举行,有很多机会和潜在的动力。这次最新的攻击表明,这个黑客组织准备好利用这些机会。

正如思科Talos安全团队所描述的那样,“123组织现在已经加入了ROKRAT最新有效载荷的一些犯罪精英。他们已经使用了Adobe Flash 0day之外的功能。这个变化代表了123组织熟度水平的一个重大转变,我们现在可以从机密的角度评估123组织拥有一支高度熟练,高度积极和高度成熟的团队。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-02-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
安全咨询
安全咨询(Cybersecurity Consultation Service,CSCS)依据国家政策和国家信息安全标准,基于客户信息安全需求,提供企业信息安全规划与管理方面的安全咨询。安全咨询协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档