Вчера компания Adobe выпустила внеочередное обновление для Flash Player, включив в него патч для уязвимости нулевого дня, которая уже используется ближневосточной APT-группой Black Oasis для доставки программы-шпиона FinSpy производства Gamma International.

Согласно бюллетеню разработчика, данной уязвимости (CVE-2017-11292) подвержены Flash сборки 27.0.0.159, работающие на Windows, Macintosh, Linux и в Google Chrome, а также Flash 27.0.0.130 для Microsoft Edge и Internet Explorer 11, установленных на Windows 10 и 8.1. Пользователям рекомендуется как можно скорее применить обновление 27.0.0.170 на всех платформах.

Экстренная заплатка для Flash появилась менее чем через неделю после «вторника патчей», в который Adobe впервые за последнее время не стала латать свои продукты. Напомним также, что недавно было решено окончательно упразднить Flash Player в 2020 году, заменив его открытыми стандартами — HTML5, WebGL, WebAssembly.

Новая брешь 0-day в этом долгоиграющем продукте была обнаружена «Лабораторией Касперского» в ходе недавней атаки на одного из клиентов ИБ-компании. Соответствующий отчет был направлен в Adobe 10 октября. По словам исследователей, эксплойт к этой уязвимости распространяется по электронной почте через вложенный документ Microsoft Word, содержащий вредоносный объект Active X. Сотрудник Глобального исследовательского центра «Лаборатории» (GReAT) Брайан Бартоломью (Brian Bartholomew) уточнил для Threatpost, что загрузка новейшей версии FinSpy после эксплойта осуществляется многоступенчатым методом.

По словам эксперта, GReAT отслеживает деятельность малоизвестной APT-группы Black Oasis почти год и зафиксировал не менее пяти уязвимостей нулевого дня, которыми злоумышленники пользовались, начиная с 2015 года. Все эти бреши уже известны и закрыты. Что касается атак на CVE-2017-11292, на настоящий момент выявлена лишь одна жертва. Black Oasis интересуют правительственные и военные организации Ближнего Востока, Северной Америки, а также некоторые российские, украинские и других европейских стран.

«Эти парни — определенно клиенты Gamma, — говорит Бартоломью. — Они используют FinSpy уже почти два года. Возможно, они также пользуются услугами Hacking Team». Насколько известно, до утечки у Hacking Team участники APT‑группы Black Oasis использовали эксплойт этой итальянской компании для уязвимости CVE-2015-5119.

«Нам известно, что данная группа применяла и этот эксплойт, которым, по нашим данным, пользуются лишь клиенты Hacking Team, — комментирует Бартоломью. — Доступ до взлома у них был, а после взлома я ни разу не видел, чтобы они использовали Hacking Team, но FinSpy они применяют с завидной регулярностью».

CVE-2017-11292 — уже вторая по счету уязвимость нулевого дня в арсенале Black Oasis, пропатченная за последний месяц. В сентябре FireEye обнародовала CVE-2017-8759 в .NET Framework, которую злоумышленники использовали против неназванного россиянина.  «За последние два месяца они засветили два 0-day, — подтвердил Бартоломью. — Очевидно, что у них есть доступ к большому количеству таких эксплойтов».

Хотя ресурсов у Black Oasis, по всей видимости, хватает, ее подход к обеспечению скрытности операций оставляет желать лучшего. Так, в новейших атаках эта группировка повторно использовала C&C-серверы, засветившиеся благодаря сентябрьской публикации FireEye.  «У них был примерно месяц на перенос инфраструктуры, однако они этого не сделали», — констатирует Бартоломью.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры