Согласно Volexity, уязвимость нулевого дня в Adobe Flash Player, раскрытая в результате взлома Hacking Team, уже используется APT-группой Wekby, известной целевыми атаками на крупные фармацевтические компании и американскую некоммерческую организацию Community Health Systems.

Исследователи из виргинской ИБ-компании обнаружили адресные поддельные сообщения Adobe, раздающие модифицированную версию эксплойта Hacking Team для Flash версий 18.0.0.194 и ниже. Некоторые метки в коде эксплойта прямо указывают на автора исходников — Hacking Team.

Получателю зловредного письма предлагается загрузить и установить обновление для Flash по ссылке http://get[.]adobe[.]com, которая на самом деле перенаправляет потенциальную жертву на IP-адрес хостинг-провайдера PEG TECH Inc. Запрошенная страница загружает swf-файл с эксплойтом для только что закрытой бреши во Flash Player.

Установленный в результате эксплойта зловред, по свидетельству Volexity, подключается к хорошо известному C&C-серверу Wekby, размещенному на территории Сингапура. Группировка Webky (APT 18) и ранее использовала этот сингапурский адрес для управления RAT-троянцами, такими как Poison Ivy; в данном случае целевой полезной нагрузкой является модифицированный Gh0st. «Любые соединения по данному IP-адресу или именам узлов следует расценивать как злонамеренные и, возможно, как индикатор компрометации», — констатируют эксперты в своем отчете.

Анализ также показал, что при наличии актуальной, пропатченной версии Flash на атакуемой машине отображается диалоговое окно со словом «faile!» (искаженное «неудача»). «Похоже на сообщение отладки, оставшееся после тестирования, — делятся своими предположениями исследователи. — Большая оплошность для злоумышленника».

«Инициаторы целевых атак опробуют новый эксплойт в полевых условиях и не собираются отказываться от своих намерений, — предостерегает Volexity. — Наиболее разумным решением в данном случае будет установка патча, ибо эксплойт уже вовсю используется в дикой природе».

Adobe закрыла опасную брешь в минувший четверг вместе с 35 другими, пока не эксплуатируемыми уязвимостями во Flash Player. Помимо CVE-2015-5119 и других багов use-after-free это обновление исправляет ошибки рандомизации адресного пространства, переполнения буфера в хипе, нарушения целостности памяти, а также устраняет возможность обхода защитных средств и политики SOP.

Американская CERT тем временем опубликовала предупреждение о непропатченной уязвимости в Windows, которая также содержалась в архиве Hacking Team, оказавшемся в открытом доступе. Данная брешь кроется в модуле ядра Adobe Type Manager, который обеспечивает поддержку шрифтов OpenType.

«Приводящая к порче памяти ошибка в Adobe Type Manager открывает возможность для манипуляций памятью ядра Windows, что может иметь самые разнообразные последствия» — так характеризует US-CERT эту уязвимость. В данном случае успешный эксплойт, такой, каким пользуется Hacking Team, позволяет атакующему обойти песочницы браузера и операционной системы и получить полномочия администратора системы.

«Нам удалось удостовериться, что данный эксплойт-код обеспечивает системные привилегии для всех версий ОС, от Windows XP до Windows 8.1, как 32-битных, так и 64-битных», — заявила американская CERT в заключение.

Категории: Главное, Уязвимости