Компания Adobe выпустила внеочередной патч для уязвимости нулевого дня во Flash Player, которая уже используется в целевых атаках APT-группы, известной своим арсеналом эксплойтов для непропатченных брешей в браузерах.

Данная группировка, которую FireEye именует APT3, ответственна также за проведение так называемой операции Clandestine Fox. С начала текущего месяца ее участники используют новейшую 0-day-уязвимость во Flash Player, засыпая вредоносными письмами представителей аэрокосмической и военной промышленности, инженерно-строительные компании, работников сферы высоких технологий, провайдеров средств связи и транспортные организации.

По данным Adobe, закрываемая уязвимость актуальна для Flash Player 18.0.0.161 и более ранних версий, работающих на платформах Windows Mac OS X, а также для 11.2.202.466 и ниже под Linux.

Целевые атаки Clandestine Fox были обнаружены в минувшем году; злоумышленники использовали уязвимости нулевого дня в Internet Explorer, которые присутствуют во всех версиях этого браузера, начиная с шестой в составе Windows XP. По свидетельству «Лаборатории Касперского», целью эксплойта была установка RAT-троянца Pirpi. Тем не менее огласке были преданы лишь атаки против IE 9–11, направленные против оборонных предприятий и финансовых организаций. Microsoft тогда же исправила эту проблему, выпустив внеочередной патч.

Новый этап операции Clandestine Fox во многом схож с прошлогодними атаками. Их инициаторы по-прежнему распространяют вредоносные сообщения общего характера, пытаясь скомпрометировать как можно большее число потенциальных носителей ценной информации. Кроме того, как отмечает Майк Оппенхайм (Mike Oppenheim) из FireEye, в обоих случаях применяются один и тот же бэкдор SHOTPUT и командная инфраструктура одноразового использования.

По словам Оппенхайма, профили пострадавших организаций и характер украденных данных позволили идентифицировать группу APT3 как китайскую. Ее причастность к текущей кампании была установлена почти сразу, однако жертвы, которые были атакованы до выхода патча, остаются под угрозой.

«Когда одна из этих групп использует уязвимость нулевого дня и раскидывает широкую сеть, опасность велика, особенно в данном случае, поскольку вредоносная активность проявилась в начале июня, а патча не было до настоящего момента, — поясняет представитель FireEye. — Это большое окно, и жертв может быть великое множество».

Оппенхайм также заявил, что его компания уведомила Adobe об атаках в частном порядке еще две недели назад.

«Для жертв эксплойта дальнейшие события развиваются очень быстро, — комментирует далее эксперт. — Как только эксплойт отработал, злоумышленники сразу начинают горизонтально распространяться по сети, захватывая идентификаторы и устанавливая другие бэкдоры».

APT3, по свидетельству Оппенхайма, интересует интеллектуальная собственность, в особенности информация отраслевого характера и техническая документация. Использование подобных спаму сообщений (в текущей кампании это в основном предложения скидок на гаджеты Apple) позволяет хакерам атаковать широкий круг сотрудников организации. Зловредные письма содержат ссылки, привязанные к сайтам атакующих, с которых загружается Flash-эксплойт, а затем бэкдор для вывода данных и установки других зловредов. «При такой схеме достаточно лишь одного спровоцированного клика по ссылке, чтобы получить доступ к сети, — констатирует Оппенхайм. — К сожалению, не перевелись еще пользователи, которые поддаются на такие приманки».

В опубликованном в минувший вторник отчете FireEye поясняет, что при активации ссылки жертва перенаправляется на скомпрометированный сервер с внедренными JavaScript для составления профиля посетителя. По завершении профилирования на машину жертвы загружается вредоносный Flash-файл. Данный эксплойт использует некорректность парсинга файлов Flash Video и способен обходить такие защитные решения, как ASLR и DEP.

Категории: Уязвимости, Хакеры