Еще одна кибергруппировка решила воспользоваться уязвимостями нулевого дня в Adobe Flash, обнаруженными в массиве данных, утекших в Сеть из Hacking Team. Целью злоумышленников стали две японские компании.

На прошлой неделе ИБ-исследователи определили, что хакеры скомпрометировали два японских веб-сайта, принадлежащих Международной ассоциации гостиничного бизнеса и конференц-услуг (IHCSA) и компании Cosmetech, Inc., путем эксплуатации уязвимости CVE-2015-5122 — одной из двух 0-day, которые Adobe закрыла в прошлый вторник. Специалисты считают, что атакующие могут нацелиться и на другие японские организации.

По сведениям компании FireEye, обнаружившей факт атак и определившей по крайней мере двух жертв, эксплуатация уязвимости происходит в два этапа: пользователи, посетившие определенную ссылку на сайте IHCSA, перенаправляются на сайт Cosmetech, где их уже поджидает эксплойт к Adobe Flash, созданный Hacking Team. Если у пользователя не обновлен Flash-плеер, с сайта скачивается вредоносный .SWF-файл, который при отработке, в свою очередь, загружает относительно новый вид зловреда — SOGU.

Хотя данный зловред (известный также под именем Kaba) используется как бэкдор китайскими APT-группировками, исследователи не нашли свидетельств того, что за атакой на японские компании также стоят китайские хакеры.

В FireEye не смогли описать весь механизм атаки, но специалисты компании предполагают, что так как подобные APT-группировки, сумевшие воспользоваться утечкой данных из Hacking Team, проводили атаки при помощи адресных вредоносных рассылок, то жертвы этой кампании также могли повестись на поддельное письмо.

Для Adobe лето выдалось очень напряженным: примерно неделю назад компания спешно выпустила новую версию Flash, в которой были запатчены две серьезные бреши — CVE-2015-5122, обнаруженная усилиями FireEye, и CVE-2015-5123, которая всплыла в результате утечки из Hacking Team.

Новая хакерская группировка — всего лишь одна из нескольких групп злоумышленников, решивших в своих кампаниях воспользоваться 0-day-уязвимостью в Adobe, о которой стало известно после публикации украденных у Hacking Team данных.

Всего через несколько дней после того, как информация о взломе стала доступна общественности, киберпреступники из нескольких APT-групп начали активно эксплуатировать CVE-2015-5119, первую известную уязвимость во Flash, в атаках против ряда организаций. Adobe оперативно выпустила патч для этой бреши, а позднее залатала и две другие 0-day-уязвимости.

Категории: Вредоносные программы, Уязвимости, Хакеры