专栏首页FreeBuf朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

朝鲜又中枪,近期Adobe Flash 0-Day攻击幕后黑手竟然是他?

据思科和FireEye的安全研究人员称,韩国黑客组织是最近发现Adobe Flash 0day漏洞攻击的幕后黑手。

自发布以来,已经有超过1000个 Adobe Flash漏洞。旨在简化网站开发并提供标准Web浏览器不支持的其他功能,这也提升了复杂程度和更广泛的攻击面。Web浏览器默认不再支持Flash,但用户通常为了方便而重新启用它。只要将它安装在您的系统上就足以使这个最新的0day漏洞被利用。

韩国互联网与安全中心KISA于2018年1月31日发布了一个安全公告,警告Adobe Flash Player的“免费使用”漏洞被广泛的利用。第二天,Adobe发布了安全咨询APSA18-01,确认CVE-2018-4878是一个潜在的远程代码漏洞,并宣布计划在2018年2月5日发布安全补丁。该攻击是在恶意SWF文件Microsoft Office或Hancom Hangul文档或电子表格,一旦打开,受害者的计算机将通过Adobe Flash执行恶意SWF(如果已安装)。

FireEye表示: “开放和成功利用后,加密嵌入式有效载荷的解密密钥将从受损的第三方网站下载。”

嵌入式负载很可能是DOGCALL恶意软件,这有助于安装 ROKRAT 命令和控制木马,远程攻击者可以访问受害者的系统。

专家警告说,在Adobe补丁到来之前,用户应该非常谨慎地打开未知的电子表格和文档文件。实际上,对于任何意外的或可疑的文件,尤其是那些支持嵌入的文件,由于可以隐藏各种恶意软件,应该始终保持警惕。您还应该强烈考虑卸载Adobe Flash。即使在您的浏览器中禁用了它,只要将它安装在您的系统上就足以让最新的漏洞成功执行。有可能你不需要Adobe Flash了。正如Sophos所解释的那样:“我们听到的最常见的需求是观看网络视频,但是如果你没有Flash,几乎所有的网站都会使用HTML5作为视频。如果你卸载它,你的浏览器将会使用它的内置视频播放器,所以你可能根本不需要Flash。“

思科和FireEye都在调查,并警告说,他们一直在追踪的朝鲜黑客组织可能正是这次袭击的幕后操纵者。FireEye称其为TEMP.Reaper,思科称为Group 123,与朝鲜有关系的黑客集团在2017年非常活跃。

据 FireEye的:“从历史上看,他们的大部分目标都集中在韩国政府,军事和国防工业基础; 然而,去年他们已经扩大到其他国际目标。“

除了扩大攻击目标之外,黑客组织似乎也在提升技能,利用各种不同的技术来部署破坏性的恶意软件和指挥、控制木马。

在过去的几年中,朝鲜曾经有过很多黑客攻击的指责。随着2017年的紧张局势和本月即将到来的韩国奥运会的举行,有很多机会和潜在的动力。这次最新的攻击表明,这个黑客组织准备好利用这些机会。

正如思科Talos安全团队所描述的那样,“123组织现在已经加入了ROKRAT最新有效载荷的一些犯罪精英。他们已经使用了Adobe Flash 0day之外的功能。这个变化代表了123组织熟度水平的一个重大转变,我们现在可以从机密的角度评估123组织拥有一支高度熟练,高度积极和高度成熟的团队。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-02-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Adobe再出漏洞,一个word文档就能控制电脑

    近日,安全专家再度爆出一个存在于Adobe Flash Player中的新的0day漏洞,此次发现源于一起针对俄罗斯的医疗保健机构的网络袭击事件。

    FB客服
  • BUF大事件丨快充产品存在安全风险;阿根廷电信公司1.8万计算机被感染

    本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,快速充电产品存在“BadPower”安全风险;Twitter公布账号劫持事件细节;阿根廷电信公司1.8万计算...

    FB客服
  • CVE-2017-3085:Adobe Flash泄漏Windows用户凭证

    早前我写了一篇文章讲述Flash沙盒逃逸漏洞最终导致Flash Player使用了十年之久的本地安全沙盒项目破产。从之前爆出的这个漏洞就可以看出输入验证的重要性...

    FB客服
  • Adobe再出漏洞,一个word文档就能控制电脑

    近日,安全专家再度爆出一个存在于Adobe Flash Player中的新的0day漏洞,此次发现源于一起针对俄罗斯的医疗保健机构的网络袭击事件。

    FB客服
  • Adobe发布Flash Player Zero-Day(CVE-2018-5002)漏洞的补丁

    Flash Player漏洞(CVE-2018-5002)是一种基于堆栈的缓冲区溢出漏洞,可能导致任意代码执行,Adobe在今天早些时候对其进行了修补。

    周俊辉
  • Kotlin中级(6)- - - Kotlin类之的继承.md

    因为Any这个类只是给我们提供了equals、hashcode、toString三个方法,我们可以看看Any这个类的源码实现

    Hankkin
  • MySQL 中 You can't specify target table '表名' for update in FROM clause错误解决办法

    在MySQL中,写SQL语句的时候 ,可能会遇到 You can't specify target table '表名' for update in FROM ...

    小菠萝测试笔记
  • spring boot 发送邮件

    简单几步,实现在spring boot中发送邮件: 1、引入依赖: <dependency>   <groupId>org.springframework....

    庞小明
  • 警惕Cisco Smart Install漏洞并禁用相关端口

    近日,国内外多家媒体曝光了包括俄罗斯和伊朗在内的多个Cisco设备被黑客入侵,被攻击的Cisco设备配置文件 startup.config 会被覆盖为“Don'...

    Seebug漏洞平台
  • OpenROV Cockpit说明

    最近的工程要参考 OpenROV 的内容,在 Github 上找到了 OpenROV 的相关包与源码,翻译总结官方提供的 README.md 如下: Co...

    剑影啸清寒

扫码关注云+社区

领取腾讯云代金券